מערכות "תפוס כפי יכולתך" בהן כל החבילות (מנות /PACKETS) העוברות נקודה מסוימת בתעבורה, נתפסות ונכתבות לאחסון, בו מתבצע לאחר מכן הניתוח ב-batch mode. שיטה זו מצריכה נפח אכסון זמין רב.

מערכות "עצור, הבט והקשב" בהן כל חיבלה מנותחת בדרך בסיסית בזיכרון, ורק מידע מסוים נשמר לניתוח עתידי.

שיטה זו מצריכה פחות נפח אחסון, אמנם דורשת מעבד מהיר יותר כדי להתמודד עם התעבורה הנכנסת.

בשתי הגישות נדרש נפח אחסון משמעותי ויש צורך למחוק מדי פעם מידע מיושן כדי לפנות מקום לידע חדש. קיימות תוכנות מסחריות לתפיסה וניתוח המידע.

אחת הבעיות עם הגישה של "תפוס כפי יכולתך" הינה פרטיות, היות וכל המידע בחבילה (כולל מידע על המשתמש) נתפס. החוק אוסר על ספקי האינטרנט לצותת או לחשוף תוכן שנתפס, אלא ברשות המשתמש, לניטור מוגבל של פעולות או תחת צו בית משפט. דוגמא דו ערכי לכלי בשטח ה-network forensics הינו תוכנת ה-Carnivore של ה-FBI.

המוצרים בשירות ניתוח משפטי של רשתות מכונים ( Network Forensic Analysis Tools (NFATs.
 

כפי שניתן ללמד אדם לנהוג במכונית מבלי להבין מה הולך מתחת למכסה המנוע, כך ניתן גם ללמד משתמשי מחשבים לשמור הוכחות משפטיות ממערכות מחשב פשוטות.

הפעלת תוכנה וחומרה מסחרית לשחזור מידע יכול להוות מטלה פשוטה, וכל המתיימר להיות מומחה במחשוב משפטי בעקבות ניסיון בפעולות אלה, עלול להימצא במצבו של נהג עם ידע שטחי במקרה שסוללת הרכב מתרוקנת.  רק מומחה אמיתי יוכל להתמודד עם הבלתי צפוי בשטח המחשוב המשפטי.

הן מפעילי מערכות מחשוב משפטי והן מחברי תוכנות מחשוב משפטי בוודאי מאמינים כי הם מעתיקים עותק פיזי של כל סקטור על דיסק קשיח, אמנם הדבר אינו נכון. "מומחי UNIX" המאמינים כי מחולל יישומים UNIX יכול "לראות" כל סקטור בדיסק טועים גם הם, גם אם דבריהם נשמעים משכנעים ביותר.

ה"מומחים" הגרועים ביותר לצערנו ממלאים תפקידים בכירים בפירמות של יעוץ לגבי מחשוב משפטי. עדויות שהוגשו על ידיהם בבתי משפט מסוגלים לגרום לצוות של מומחים אמיתיים לצער רב, לצד אי אמון כי מישהו ירצה לחתום בשמו תחת אוסף כה גדול של אי דיוקים.

www.bos.co.il

www.datarecovery.co.il