Depende de la herramienta que elijas. Las herramientas forenses como Autopsy pueden ejecutarse en varios sistemas operativos diferentes. Pueden analizar el sistema de archivos de la imagen que le han dado y mostrarle el contenido de los archivos. Si dicha herramienta está escrita en Java, puede ejecutarla en Windows, Mac o Linux.
En el trabajo forense, no necesariamente está intentando "ejecutar" el software desde la imagen. A menudo, simplemente está mirando los archivos que recopila del sistema y uniendo lo que sucedió en función del contenido de los archivos, los atributos del sistema de archivos, como la última vez que se accedió, el ID del creador, etc. OS y ejecute programas que accedieron a esos archivos, su propia actividad de investigación probablemente ocultará las pistas que desea descubrir.
Pero a veces no tienes mucha opción. Si descubre un archivo llamado foo.docx, un simple editor de texto le mostrará muy poco y probablemente necesitará usar Word para verlo. Eso crea otro problema: ¿qué sucede si el archivo que está intentando examinar contiene un virus? Abrirlo en Word en su computadora podría exponerle exactamente a los mismos problemas que la imagen de computadora víctima que está viendo. En ese caso, debe aprender a utilizar una máquina virtual como recinto de seguridad.