Le cas des ordinateurs portables est légèrement différent : en effet ils ne peuvent généralement accueillir qu'un seul disque dur, et ces disques sont d'un format différent de ceux qui équipent les ordinateurs de bureaux (ce qui n'est pas très grave) et ont une connectique différente (c'est là que les choses se compliquent).
Le fait que la machine d'examen soit un portable pose souvent problème : déjà, pour une génération d'ordinateurs donnée, les diques durs des portables sont généralement de moindre capacité que ceux des ordinateurs de bureau ; ensuite, même si le disque dur du portable peut accueillir une copie de celui que l'on autopsie, il reste le problème de faire ladite copie : comme nous l'avons dit, ils ne peuvent généralement accueillir qu'un seul disque.
Nous supposons maintenant que le disque dur du portable peut accueillir l'image du disque à examiner (ce qui est quand même souvent le cas, si l'ordinateur portable est plus récent que la machine étudiée). L'idée est de faire la copie du disque avec dd comme précédemment mais de la transmettre à la volée par le réseau.
Pour ce faire, nous utilisons l'utilitaire netcat. L'idée est de démarrer l'ordinateur fixe avec un Live-CD, c'est à dire une distribution de linux qui démarre depuis un cd et n'utilise pas le disque dur, l'exemple le plus connu étant sans doute Knoppix. Pour ce que nous voulons faire, une distribution minimale (avec cependant netcat) suffit : la distribution PLAC (Portable Linux Auditing CD) convient donc parfaitement, et l'image ISO ne fait qu'une cinquantaine de Mo : elle tient donc sur certains cds au format carte de visite. Un outil à toujours avoir à portée de main, d'autant qu'elle contient également de nombreux logiciels utiles à la récupération de données (à utiliser par exemple si vous n'avez pas de machine d'examen... à condition de savoir comment ils marchent: la documentation n'est pas inclue!).
La syntaxe est alors, sur la machine qui reçoit l'image (le portable dans notre cas)
portable$ nc -p 12345 -l > image
tandis que sur la machine démarrée à partir du Live-CD, on lance
fixe$ dd if=/disque | nc -w 3 MachB 12345
Cette technique de copie par le réseau nécessite pour fonctionner que l'ordinateur où se trouve le disque dur n'ait ni de problème matériel empêchant de booter sur le CD, ni de problème induisant un risque pour le disque dur (par exemple une alimentation défaillante peut parfois encore fonctionner quelques temps, mais risque de provoquer un pic de tension qui grillera l'électronique des disques durs en mourant pour de bon...).
Pour ces cas, notons également qu'il existe de plus en plus de "boîtiers adaptateurs" permettant de connecter un disque dur IDE (de format 3"5 ou 2"5 selon les modèles) sur les ports USB ou Firewire des portables. Ces solutions (que nous n'avons pas essayées) ont l'inconvénient d'être relativement onéreuses, par contre elles devraient permettre de résoudre aussi bien le problème "connecter le disque à analyser au portable" que "trouver la place pour mettre la copie".
La solution de copie par le réseau présentée au paragraphe précédent fonctionne généralement ici aussi (nous disons généralement car du fait de "l'exoticité" fréquente du matériel qui équipe les portables, il y a plus de chances pour que l'utilisation d'un live-cd pose problème). Aussi proposons-nous dans ce cas de relier physiquement le disque dur à l'ordinateur fixe.
Pour ce faire, nous pourrions utiliser une des solutions USB ou Firewire également indiquée au paragraphe précédent, mais ce n'est pas nécessaire : en effet, il faut savoir que si les connecteurs des disques durs 3"5 et 2"5 sont différents, on peut trouver (certes pas partout : on en trouve par exemple chez Pearl Diffusion) des adaptateurs de brochage à des prix raisonnables (même si ça reste cher pour trois bouts de fils...) qui permettent de monter (au sens physique) un disque dur de portable dans un ordinateur fixe. La procédure à suivre est alors la même qu'avec un disque dur "normal".