Pewną komplikacją w porównaniu z "niesymbianowymi" komórkami jest znacznie więcej możliwości zabezpieczenia dostępu do urządzenia. Od dłuższego czasu dostępne jest oprogramowanie do szyfrowania informacji, bezpiecznego uwierzytelniania (np. tokenem), co może zniweczyć wysiłki śledczego. Jednak stosowanie tego rodzaju oprogramowania nie jest powszechne. Palmtopy mogą zostać poddane "obróbce" fizycznej (kopie bitowe całości pamięci) bądź logicznej (kopie bitowe logicznych obszarów danych).

Jeżeli dostajemy wyłączonego palmtopa, to w żadnym razie nie należy go włączać. Jeżeli jest jednak włączony, to nie wolno doprowadzić do stanu (np. hibernacja), w którym aktywują się mechanizmy zabezpieczające. Ponadto trzeba dostarczyć urządzeniu źródła energii i postarać się możliwie szybko pobrać materiał do późniejszej analizy.

Jeżeli urządzenie korzysta z komunikacji bezprzewodowej, należy się jej skutecznie pozbyć (np. wykorzystując torebkę, podobną jak w przypadku komórek). Ponieważ jednak palmtopy nastawione są na oszczędzanie energii, istnieje bardzo duże prawdopodobieństwo, że otrzymamy urządzenie wyłączone. Możemy więc przejść do następnego kroku - wykonania zrzutu pamięci urządzenia. Do tego celu mamy cały wachlarz narzędzi. Z reguły, w zależności od systemu operacyjnego palmtopa, skorzystamy z dedykowanego dla niego oprogramowania. Począwszy od uniwersalnego dd (w przypadku systemów linuksowych) lub dedykowanego dla Palm OS pdd, poprzez Paraben's Device Seizure, a skończywszy na "kombajnie", takim jak EnCase.

Z reguły palmtopy jako główne źródło pamięci wykorzystują pamięć ROM (przechowującą jądro systemu, bootloader, biblioteki i pliki zapisane przez użytkownika). Dodatkowo używana jest pamięć RAM wspomagająca pracę systemu. Tam też znajdzie się część plików użytkownika. Usunięcie zawartości pamięci RAM możliwe jest poprzez wykonanie resetu. Miękki reset urządzenia powoduje wymazanie obszaru odpowiedzialnego za wspomaganie pracy systemu, a twardy dodatkowo obszaru plików użytkownika. Palmtopy też najczęściej zaprzęgają do pracy system plików JFFS2 (The Journaling Flash File System) optymalizujący wykorzystanie nośnika. Podobnie jak w komórkach, tak i w części palmtopów implementowany jest interfejs JTAG, którego przeznaczenie już znamy.

Z uwagi na charakterystykę pracy PDA wykonanie pełnej, możliwej do powtórzenia kopii pamięci jest w zasadzie niemożliwe. Urządzenia te bowiem, nawet wyłączone, wykonują pewne operacje, które zmieniają ich zawartość. Dlatego też tak ważne jest dokumentowanie wszystkich kroków po to, aby utworzyć niezaprzeczalny i dobrze uargumentowany łańcuch zdarzeń (chain of custody). Większość dostępnego oprogramowania do wykonania zrzutu pamięci z systemu Palm OS, bo tym posłużymy się dla przykładu (testy prowadzone na Sony Clie), wymaga wcześniejszego wprowadzenia go w tryb konsolowy, którego istnienie producenci skrzętnie ukrywają. Tryb ten aktywuje się rysując w obszarze Graffiti literę "l", stawiając dwie kropki oraz pisząc cyfrę 2.

A co jeżeli PDA jest zabezpieczony hasłem? Są metody omijania tego rodzaju zabezpieczeń. Jeżeli Palm został przejęty wraz z komputerem, z którym mógł być zsynchronizowany, to zadanie mamy ułatwione. Istnieje oprogramowanie (np. Paraben Device Decryption) do wyszukiwania haseł zabezpieczających urządzenie. Jeżeli trafił nam się PDA całkiem archaiczny (Palm OS w wersji przed 4.0), to podczas pobierania obrazu mamy możliwość ominięcia hasła w ogóle. Później następuje pobranie zawartości pamięci urządzenia.

Co dalej? Za pomocą oprogramowania do analizy plików binarnych, np. Sleuthkit + Autopsy, możemy przeszukać pobrane obrazy w poszukiwaniu interesujących informacji, np. zdjęć, książki adresowej, zapisanych dokumentów. I już, misja zakończona.

Jak oka w głowie

Urządzenia przenośne, choć małe i niepozorne, już nieraz okazały się cennym źródłem informacji w sprawach dotyczących choćby pedofilii czy szpiegostwa przemysłowego. Jak wynika z powyższego tekstu, zwykłemu użytkownikowi niezwykle trudno skutecznie zabezpieczyć swoją ulubioną zabawkę, która po "wizycie" u sprawnego śledczego może zamienić się w obiekt nienawiści, który doprowadził do zguby. Pozostaje więc: przede wszystkim pilnowanie urządzeń jak oka w głowie, szyfrowanie danych, kiedy to tylko możliwe oraz stosowanie rozwiązań bezpiecznego uwierzytelniania (jeżeli nas na to stać).

Ale tak naprawdę lepiej po prostu nie mieć nic do ukrycia.