Iako većina korisnika danas koristi operacijski sustav Windows, nikako se ne smiju zaboraviti druge opcije, prvenstveno Linux i Mac OS. Istražitelj mora znati kako koji sustav radi, gdje pohranjuje podatke i što se sve može izvući s njega. Operacijski sustav se ponaša kao redatelj i tumač između korisnika i softvera i hardvera na računalu. Različiti operacijski sustavi drugačije funkcioniraju i istražitelj će koristiti drugačije metode i alate za pojedini OS.
Datotečni sustav je način na koji OS organizira, upravlja i pristupa datotekama pomoću logičkih struktura (tablica sadržaja) na tvrdom disku (hard drive).
Tvrdi disk na kojem je OS instaliran se dijeli na komade koji se zovu klasteri (eng. clusters) ili alokacijske jedinice (ili blokovi u slučaju Linuxa). Svaki klaster sadrži određeni broj sektora. Sektori se nalaze na particiji na disku. Bez dodatnih struktura, svaka particija bi bila jedan veliki komad podataka. OS koristi mapovnu strukturu (eng. directory structure) kojom podacima dodjeljuje imena i upravlja slobodnim prostorom prilikom stvaranja novih datoteka. Ta struktura i metoda organiziranja particije se zove datotečni sustav. Različiti operacijski sustavi imaju različite potrebe i stoga različite datotečne sustave. Konfiguracija u kojoj je više tipova sustava instalirano na tvrdom disku se zove dual-boot ili multi-boot.
FAT (eng. File Allocation Table) je jedan od najčešćih datotečnih sustava. Korištena još od vremena DOS-a. Tablica je pohranjena na početku particije. Da bi se zaštitila particija, pohranjene su 2 kopije tablice. Ova struktura nije pretjerano organizirana - datotekama se dodjeljuje prva slobodna lokacija na disku.
VFAT (eng. Virtual FAT) je napredna verzija FAT sustava, još se naziva i FAT32. Koriste ga Windows 95 i noviji. Omogućava podacima da imaju duža imena nego prije te koristi manje alokacijske jedinice na disku nego FAT.
NTFS (eng. New Technology File System) je razvijen za potrebe WIndows NT i novijih verzija Windowsa. Ranije verzije ga ne mogu koristiti. NTFS organizira datoteke u mape koje se zatim sortiraju. Također, vodi se evidencija o transakcijama datotečnog sustava što NTFS čini obnovljivim (eng. recoverable) sustavom.
Unix datotečni sustavi su organizirani kao hijerarhija mapa s početkom u mapi root
koja je predstavljena kosom crtom (/). Unix gleda na sve diskove i vanjske uređaje kao dio istog datotečnog sustava. Tako će npr. floppy disketa biti u /mnt/floppy
, a CD-ROM u /cdrom
.
HPFS (eng. High Performance File System) je dizajniran za OS/2 operacijski sustav. Organizira mape kao FAT, no koristi super block koji sadrži pokazivač na root
te rezervni blok za popravljanje loših sektora.
Second/Third/Fourth Extended Filesystems su datotečni sustavi bazirani na stanju. To znači da sustav održava stanje svih otvorenih datoteka u memoriji. Od ext3 sustav počinje držati dnevnike i kontrolne točke koji pomažu oporavku sustava nakon neispravnog gašenja računala.
NFS (eng. Network FIle System) je razvijen od Sun Microsystems 1980-ih kao način kreiranja datotečnog sustava na klijentu bez diskova. NFS pruža udaljeni pristup dijeljenim datotečnim sustavima na mreži. Osnovna svrha NFS-a je mogućnost mountanja mapa na drugim računalima - na taj način im se može pristupiti kao da su na lokalnom računalu.
BFS (eng. BeOS File Systems) je dizajniran za BeOS operacijski sustav. Ima mogućnost pristupanja drugim sustavima kao što su FAT, FAT16, VFAT i HPFS particije. Moguća je podrška i FAT32 i NTFS particijama uz određene dodatke (eng. drivers).