拿到硬盘时，我们按照之前的侦查思路设置关键词检索，果然一无所获。那接下来如何查？当实施某调查策略发现一无所获时，就应当反思是否思路有问题，有没有存在嫌疑人供述误导侦查等情况。当我们检验无果后就应改变思路。我认为司法办案人员不应只负责法律，技术专家也不应只负责技术，这块硬盘既然是案发现场，检察官、技术专家应当以侦查式鉴定思维思考问题，对案发现场（即涉案硬盘）进行勘验、抽丝剥茧地分析，从中找出客观证据为案件侦破提供思路、线索、证据。

因为在涉案检材前期检验时发现了虚拟机文件，而黑客攻击多倚重虚拟机技术，打开虚拟机数据分析时，发现了被害单位客户端，这说明我们作为电子数据现场侦查人员没有出错现场。

然后我们考虑，被害单位服务器里应当存有嫌疑人发动攻击的IP地址数据，经询问被害单位证人，我们找到了被害单位服务器的IP与发起攻击的IP、以及相关时间节点。于是我们对嫌疑人的虚拟机数据进行了十六进制下的底层数据挖掘，果然有所收获，发现嫌疑人控制的设备中存在大量同被害单位服务器IP地址进行数据交互的痕迹信息数据，这证明嫌疑人确实使用该设备攻击过被害单位的服务器。

因为查明被害单位存留的攻击地址，同调查发现的嫌疑人IP地址并不相同，所以我们考虑嫌疑人使用VPN变更了自己的IP。于是我们以此进一步进行数据挖掘，发现了运行VPN的VPS服务器的痕迹信息数据。以上数据正好反映出被害单位记录的发动网络攻击地址，其实就是嫌疑人用VPN转化后的IP地址。此外，我们还顺藤摸瓜挖掘出了嫌疑人敲诈勒索被害单位的数据碎片文件。

这样我们将“嫌疑人控制的设备—使用VPN变更自己的IP地址—利用变更的IP地址控制肉鸡攻击被害单位服务器”之间的客观证据关联性构建起来，证明了嫌疑人通过网络攻击实施敲诈勒索的相关情况，并分析了相关时间序列情况。

通过该案我们发现，在案件侦破中，思考思路制定方案应当是第一位，修改方案第二位，执行第三位。鉴定机构或技术专家技术水平即使有差距，在现今形势下也几乎不会出现独占性、排他性的技术方法，技术水平大致相同但结果却不同时，这就体现了调查思路的差异与重要性。

利用侦查式鉴定思维进行案件的调查、审查，需要我们调查人员具有侦查思维、基本的技术知识、根据案情制定方案并同技术专家沟通、在调查陷入僵局时以电子数据来研判口供是否误导侦查等。反之对于技术专家，不能局限于技术之中，应当思考法律问题，及时同调查人沟通以确定下一步方案。

通过侦查式鉴定思维探究案件情况，需要将案件中相关的电子数据相互综合、相互关联，综合运用勘验、分析判断、询问等方式构成完整的链条。单个人或者单个数据单打独斗，多数情况下并不能起到好的效果，联结在一起才能有效还原事实。单一的思维同样不能起到好的最好的效果。应当综合侦查的思维方式进行调查、鉴定。采用不同的思路、技术从多种数据信息中发现有价值的数据。此外，应当不断发挥数据挖掘在案件中的价值，而不是简简单单做个数据恢复了事。

简而言之，侦查式鉴定即为讯问、调查提供线索，为定案提供证据；从“口供定案”到“零口供定案”，对口供验证，由近及远、从已知到未知；对案情研判，扩大侦查、取证的方向。