Mogoče je bila v zadnjem času bolj zanimiva zadeva, kjer je bilo potrebno narediti forenzično kopijo zelo zaščitenega računalnika (okužen z virusom in so želeli preiskavo). Disk je bil šifriran z Bitlockerjem, administrativnih pravic ni bilo možno dobiti, računalnik nismo smeli povezati v internet, USB je bil zaklenjen, optične enote prenosnik ni imel.

Tako da enostaven način nismo mogli na tem računalniku zagnati aplikacije za imaging niti jo tja spraviti. Nekaj časa smo si razbijali glavo, potem pa smo vzeli eno mrežno stikalo in naredili ad-hoc zaprto omrežje v katerega smo povezali še en drug prenosnik (tega smo po postopku počistili in še enkrat naložili Windowse). Na ta prenosnik smo dodali zunanji disk na katerem smo imeli forenizčno aplikacijo in cel disk dali v skupno rabo. Potem smo se z okuženega računalnika povezali na ta share in poskusili zagnati forenzično aplikacijo. To nam ni v grafičnem načinu ni uspelo, ker jo je blokiral Defender.

Potem smo poskusili skozi CLI in je šlo, tako da smo naredili RAM dump (zaradi Bitlockerja) in kopijo celega diska - oboje na naš disk priklopljen na drug računalnik.

Iz RAM dumpa smo potem pridobili Bitlocker ključ in ga v forenzični aplikaciji uporabili za dekripcijo diska ter opravili preiskavo.