Необходимо помнить, что в ходе производства экспертизы или исследования при подключении к стендовому компьютеру исследуемого НЖМД необходимо использовать программный (например, встроенный в программу «Forensic Assistant») или аппаратный блокиратор записи!
В том случае, если необходимо провести проверку НЖМД, подключенного к стендовому компьютеру, необходимо выбрать пункт меню «Инструменты -> Сканировать каталог» или использовать сочетание клавиш Ctrl+F9. В открывшемся окне можно выбрать диск, на котором необходимо провести поиск файлов ОС (см. Илл. 7). Каталоги установки Windows в «Defacto» могут быть автоматически обнаружены на всех подключенных дисках по наличию в них файлов реестра, для этого достаточно в открывшемся окне выбора каталога нажать кнопку «Поиск». Можно также вручную добавить каталог Windows, используя кнопку «Добавить». В поле «Платформа» указывается тип обнаруженной ОС.
Илл. 7. Окно выбора каталога, содержащего файлы неактивной ОС
Поскольку установленных систем может быть обнаружено несколько, то необходимо указать, какие именно каталоги требуют анализа. Если же исследование делается целиком для всего НЖМД, то, при нескольких выбранных системах, будет создан сводный отчет, содержащий список установленного программного обеспечения из всех указанных копий Windows.
Дальнейшая работа со списком обнаруженного программного обеспечения аналогична работе, описанной для сканирования активной ОС.
Для просмотра реестра неактивной ОС (в режиме «только чтение») можно воспользоваться пунктом меню «Инструменты -> Просмотр реестра» (см. Илл. 8).
Илл. 8. Окно просмотра реестра.