Trong trường hợp, điều tra viên có được tài khoản người dùng root trên thiết bị thì việc thu thập bằng chứng trở nên đơn giản và dễ dàng. Còn nếu trong trường hợp, điện thoại chưa root, đồng nghĩa với việc không có tài khoản người dùng cao nhất, với trường hợp này, phải làm thế nào để truy cập vào phân vùng hệ thống để thu thập dữ liệu một cách đầy đủ? Với tình huống này ta có 2 cách giải quyết vấn đề
- Sử dụng các phương pháp kỹ thuật, công cụ để nâng cấp một người dùng bình thường lên tài khoản người dùng cao nhất, nhưng cách giải quyết vấn đề này sẽ có độ rủi ro về mất đi dữ liệu trên thiết bị, hay bằng chứng có thể bị mất trong quá trình nâng cấp quyền trên thiết bị. Vậy trong việc thu thập bằng chứng không sử dụng cách giải quyết này để giải quyết vấn đề trên.
- Để có thể thu thập được tất cả dữ liệu trên thiết bị mà không làm hỏng hay mất mát dữ liệu ta sử dụng kỹ thuật thu thập dữ liệu bằng phương pháp vật lý, như thu thập dữ liệu
60
từ thẻ nhớ ngoài và sử dụng thiết bị vật lý chuyên dụng cho việc này. Thiết bị UFED TOUCH ULTIMATE của hãng Cellebrite được coi là một công cụ hỗ trợ tư pháp trong việc thu thập bằng chứng trên thiết bị di động. Thiết bị này có khả năng trích xuất dữ liệu như: danh bạ, video, tin nhắn, lịch sử cuộc gọi, thông tin về sản phẩm đó. Ngoài ra, nó còn có khả năng khai thác, giải mã, phân tích và tạo ra các báo cáo dữ liệu, nó thực hiện qua phương thức vật lý, logic, hệ thống tập tin và vượt qua mã bảo vệ, khôi phục các tập tin trên thiết bị đã bị xóa.