Sou graduado em ciências forenses e, como tal, estou razoavelmente familiarizado com os procedimentos que a polícia usa para lidar com sistemas. A menos que haja uma possibilidade específica de que haja algo criptografado do qual eles estão cientes, ou suspeitam que você use o FDE, eles devem, em termos de práticas recomendadas (o Diretrizes da ACPO são uma boa visão geral), desconecte seu sistema. Eles também devem trabalhar em uma cópia do seu disco para evitar evidências contaminantes. Eu faço distintamente recuperar o truecrypt desmontado na reinicialização, e pode ser configurado para desmontar quando estiver no modo de economia de energia - este é um cenário o manual do truecrypt . É um pouco tarde demais para isso agora
No entanto, mesmo que eles puxassem o disco rígido, em muitos tribunais, os tribunais podem obrigá-lo a fornecer uma senha para uma pasta criptografada. Em muitos lugares incivilizados, eles podem usar outros meios, como ilustra este quadrinho XKCD.
Suponho que quebrar sua senha em um cluster enorme poderia acontecer, mas ainda não ouvi falar de nenhuma dessas convicções.
Infelizmente, esses também são os mesmos lugares onde é improvável que eles sigam as práticas recomendadas. Sua milhagem pode variar dependendo dos procedimentos da agência local de aplicação da lei