Prima che le memorie flash si diffondessero (tramite le chiavette USB, le schede SD e gli SSD) per chi si occupa di analisi forense era tutto molto più semplice.

Recuperare i dati da un hard disk, da un floppy o da un nastro non è impossibile, poiché i file cancellati non spariscono: i settori da loro occupati sono soltanto contrassegnati come liberi, ma conterranno i dati fino alla prima riscrittura.

Con le memorie flash tutto diventa più difficile e non perché sia più facile per gli utenti cancellare per sempre i dati (anzi, in questo caso le tecniche utilizzate per gli hard disk non sono sempre efficaci) ma perché pensano esse stesse a eliminare davvero o comunque alterare i file cancellati dall'utente.

Proposte di lettura:

San Francisco, 200 milioni per liberare la metropolitana dai floppy disk

La Marina tedesca cerca una soluzione per sostituire i floppy da 8 pollici

Cassandra e i supporti informatici

Recuperare i file cancellati grazie a Windows File Recovery

Poiché queste istruzioni sono inserite nel firmware del drive, tutte le contromisure che dipendono dal sistema operativo sono inutili: le tecniche usate per "bloccare" un disco durante l'analisi forense al fine di effettuarne un'immagine fedele non hanno alcuna possibilità di riuscire.

"Se la garbage collection avviene durante o prima dell'analisi forense avremo come risultato una potenziale cancellazione irreversibile di grandi quantità di dati preziosi" spiegano alcuni ricercatori della Murdoch University, in Australia, che per primi hanno sollevato il problema.

Anche se i dati non sparissero per sempre, ma fossero soltanto alterati, la loro ammissibilità come prove in tribunale sarebbe compromessa: il drive deve essere nelle stesse condizioni in cui si trovava quando è stato prelevato, e le funzioni interne degli SSD lo modificano, permettendo alla difesa di chiederne l'esclusione.