Kolejnym wyzwaniem jest analiza danych przechowywanych w urządzeniach mobilnych - w szczególności w smartfonach i tabletach. Śledczemu rzucane są rozmaite kłody pod nogi. Fundamentalną trudnością jest różnorodność platform. W desktopach/laptopach w 80% przypadków spotkamy systemy z rodziny Windows, w pozostałych Linux. W urządzeniach mobilnych systemów jest znacznie więcej. Mamy systemy Apple’a, Google’a, Microsoftu, BlackBerry, Nokii i inne, nieco bardziej egzotyczne (np. BADA). Co prawda, z badań prowadzonych przez firmę Icrossing ("Mobile Operating System Market Share - 2013) wynika, że w Europie dominujący w poprzednich latach iOS traci na rzecz Androida, a w środowiskach korporacyjnych w dalszym ciągu widoczne jest BlackBerry, ale w Polsce do analiz trafiają wszelkie odmiany Symbiana, rzecz jasna iOS, coraz bardziej popularny Windows Phone/8 i niezliczone mody Androida.

Problem nasila się w przypadku Androida - teoretycznie jest to ten sam system, ale każdy producent stara się "dorzucić" coś od siebie, czasem dość istotnie modyfikując sposób działania platformy, co przekłada się na możliwości akwizycji. Urządzenia mobilne różnią się też systemami plików. Znowu w ramach samej platformy Android możemy mieć do czynienia z różnymi typami systemów plików, np. EXT4, YAFFS2. Część danych może być zaszyfrowana, a do tego dochodzi przyziemny problem mnogości interfejsów.

Z drugiej jednak strony współczesny smartfon to jednak "pecet". Pozostańmy na chwilę przy Androidzie. To przecież nic innego jak Linux z jądrem 2.6, aplikacje w Javie osadzone w maszynach wirtualnych, dane przechowywane w bazie danych (SQLite), nośnik danych - karta SD/FAT32. Jak zatem możemy wykonać obraz urządzenia? W przypadku kart SD sprawa jest prosta - wystarczy zwykły write blocker np. FTK Imager i postępowanie jak z nośnikiem zewnętrznym. W przypadku pamięci FLASH (NAND) możemy wykorzystać tryb recovery, aktywować tryb debugu USB i za pomocą pakietu Android SDB, a konkretnie narzędzia ADB (Android Debug Bridge), wykonać polecenia na podłączonym systemie.

Wytrwali mogą również skorzystać z interfejsu JTAG i odpowiedniej przystawki - JTAG występuje na przykład w popularnych telefonach serii Samsung Galaxy S.

Jeśli wszystkie "tradycyjne" metody zawiodą, można posunąć się do użycia fortelu i poszukać backupów. Coraz bardziej świadomi użytkownicy smartfonów wykonują kopie bezpieczeństwa na kartę SD przy użyciu narzędzi backupowych, takich jak TitaniumBackup, lub zrzucają dane do komputera za pomocą dostarczanego z telefonem oprogramowania. W tym przypadku może się okazać, że informacje przechowywane w kopii bezpieczeństwa są na tyle wartościowe, iż nie ma potrzeby trudzić się i niskopoziomowo "dłubać" w urządzeniu. Ale i na tym nie kończą się możliwości. Przytoczmy ponownie przykład platformy Android. W przyborniku śledczego z reguły znajduje się narzędzie Volatality firmy Volatile Systems, które pomaga w analizie zawartości pamięci RAM. Narzędzie to może zostać rozbudowane o dodatkowe funkcje za pomocą pluginów, w tym wspomagającego w akwizycji pamięci smartfona. Można też wykorzystać narzędzie nanddump, które wchodzi w skład większego pakietu narzędzi MTD-Utils.

Po pobraniu danych przychodzi czas na clue programu, czyli analitykę. I tutaj możemy stosować zarówno stare, sprawdzone narzędzia, takie jak chociażby pakiet SleuthKit, który pomoże w analizie systemów plików YAFFS czy HFS. W procesie carvingu możemy również wesprzeć się dobrze znanym ze świata pecetów narzędziem Scalpel. Ciągle użyteczny pozostaje pakiet Autopsy, który może stanowić darmową alternatywę dla komercyjnych platform śledczych.

Jeżeli platformami mobilnymi interesujemy się na poważnie i wolimy trochę bardziej kompletne i zautomatyzowane narzędzia, możemy skierować uwagę na kombajny. Z pewnością jednym z najbardziej popularnych wśród śledczych są narzędzia Cellebrite serii UFED. Znajdziemy wśród nich zarówno narzędzia służące do akwizycji (w tym tzw. chińszczyzny - opartej na chipsetach MTK, Spreadtrum), jak i do analizy. Zatrzymajmy się na analityce. Dość często, zwłaszcza w bardziej rozbudowanych sprawach, pojawia się konieczność budowania mapy powiązań pomiędzy elementami układanki. Tę funkcjonalność (w odniesieniu do komórek) ma zapewniać Link Analysis. Możliwości narzędzia są interesujące. Dzięki niemu jesteśmy w stanie wykonać wiele działań względem posiadanego materiału, np.: