1. По поводу прозвучавшей ранее мысли "про паяльник .." - мягко говря не совсем корректно т.к. в этом случае любой может оказаться "виноватым без вины"  - на кого пальцем покажут ( ты это или нет ни кого не волнует) - здесь же речь идёт о техническом доказательстве совершенного преступления.
2. Существет огромное количество программ которые безвозвратно затирают любую инфу с HDD путём многократной перезаписи случайной последовательностью байт и если регулярно проводить подобные мероприятия с последующим восстановлением всей системы  (за 3-4 минуты) таким инструментом ,к примеру ,как "Norton Ghost" то о какой технической экспертизе может идти речь - тут хоть заэкспертизируйся с девственно чистым винтом!

По поводу затирания информации - типа "можешь не упеть - когда уже стучат в дверь !!!
А зачем ждать того момента когда уже стучат в дверь ???
По моему там чётко написано -".. если регулярно проводить подобные мероприятия с последующим восстановлением всей системы .."

 Компьютерные преступления отличаются от прочих уголовных тем что между их совершением и появлением первой ответной реакции проходит , как правило , вполне конкретный промежуток времени - и очень сомнительно что "стучать в дверь" будут через несколько секунд после "проникновения в систему" - надо всё ж таки реально смотреть на вещи! Прежде чем куда-то ломиться надо быть в этом уверенным !
И по поводу "знакомых из управления К " - Если Acronis Drive Cleanser  раз пять пробежится по диску - то ни какие "спецы" ничего там ни найдут кроме случайных цепочек байтов ! (это получше чем кислота).

Зачем "уничтожать логи"?
Работаешь под нормальной осью как юзерь, а когда надо что-то серьезное - грузишь вмварный линух. Он лежит в файлике на диске, файлик закриптован той же EFS, ключики на отчуждаемом носителе (дискете к примеру), под паролем. Дискету после использования (загрузки vmware) прячем. Ключички только в памяти до перезагрузки. Если "постучали" - ребут, хрусть и пополам.
Зачем усложнять себе жисть?

...И ещё vmvare возможно оставляет следы в свопе основной машины ...в отличии от RTK которая жесткий диск вообще не использует.

Её то можно попросить но она работает под основной машиной - так что никто не даст 100% гарантии что на ж.диске не остаётся следов (...ну разве что "спецы" из "К").
Так что RTK  лучше без вопросов.
А насчёт постоянной "головняки" -  нужно просто иметь ещё один раздел на диске (который не жалко уничтожить)- он и будет переодически перезаписываться и клонироваться - зачем же для этих целей использовать "рабочий" раздел ??? К тому ж на одном Unix далеко не уедешь - под винды софта гораздо больше.

Тогда нафиг вообще RTK если рабочая информация у тебя все равно на диске будет?

погоди - зашелил ты пару сотен машин, повесил разные руты и пасворрды (что бы кто умный не залес в твою дырку). И где ты будешь это храниить? в инете? или в голове? или на бумашку запишешь?

Есть ещё такое понятие как RAMDRIVE. И под винды, и под линухи. Хард в такой ситуации абсолютно необязателен.

И молотком по нему, молотком [IMG]http://www.securitylab.ru/forum/smileys/smiley4.gif[/IMG] [IMG]http://www.securitylab.ru/forum/smileys/smiley4.gif[/IMG]