El simple hecho de encender la máquina ya puede alterar / destruir datos que pueden ser evidencia potencial, y mucho menos iniciar el sistema operativo original.
La mejor solución es quitar el disco duro, conectarlo a otra computadora a través de un bloqueador de escritura de hardware y luego tomar una imagen completa de él con dd
o algún equivalente. El bloqueador de escritura es necesario para evitar la escritura accidental en el dispositivo que pueda alterar la evidencia potencial (aunque una instalación básica de Linux que no monte unidades automáticamente no hará ninguna escritura por sí misma, Mac OS y Windows definitivamente lo harán).
Si eso no es posible, entonces debes ir con la ruta forense de Live-CD, pero como implica iniciar la computadora, es posible que ya actives algún código incorporado en el firmware diseñado para alterar / destruir pruebas potenciales (difícil pero no imposible de hacer). , depende del tipo de criminal que estés buscando).
Tenga en cuenta que al final, no importa qué sistema operativo se instaló en la computadora, ya que de todos modos no debería iniciar ese sistema operativo, y una copia bit a bit no se preocupa por los datos o el sistema de archivos. eso está en la unidad (puede copiar unidades cifradas, pero eso no le ayudará mucho si no tiene la clave ya que la copia aún está cifrada).