С поверхностного изучения основных форумов и FAQов.
Возможно, ранее и можно было знать "и винду и линух", но сейчас - хрен.
Пользуясь областями знаний криминалистики вообще перелицовывайте их на язык ОС.
Определяйте область ,в которой будете развиваться (ну, даже я знаю про теоритическую, практическую, методологическую и т.д.) и вперёд.
Практическая?
ОК, Вы будете оперировать фактами, взаимосвязями, проявлениями, маскированием и т.п.
Факты - например, железки или файлы. Проявление - результат и побочный результат в виде логов. Маскирование - это сокрытие и/или подмена.
Значит, Вам для этой небольшой области надо иметь представление (существительные):
1. Что представляет собой файл
2. Что представляет собой железка
3. Что такое лог, где находитсЯ, как работает
(глаголы)
а. Как сокрыть (файл, железку, лог)
б. как подменить
в. как выполнить
г. как найти
...
Логика и анализ. Вас же этому учат и тут Вы наверняка сильнее меня