Spool dosyalar(print spooler) herhangi bir belgenin yaziciya gönderilmesi sirasinda olusan belgelerdir. Spool dosyalar ile birlikte dosya adi, kullanici adi gibi bilgilerin tutuldugu shadow (gölge) dosyalar da olusmaktadir. Spool dosya içerigindeki yazdirilacak her bir sayfa için grafik dosya (EMF file- Vektörel resim dosyasi. olup birçok resim düzenleme programi tarafindan aççilir) olusturulur.

Spool dosya incelemesi için öncelikle FTK imager ile “c:\\\\\\windows\\\\\\system32\\\\\\spool\\\\\\” yolu altindaki printers klasörünün belirli bir yere tasinmasi gerekmektedir. Daha sonra tasinan printer dosyasi FTK de “add evidence” ile olayimiza eklenir. Ekleme neticesinde yerel yaziciya gönderilmis olan belgelere ait emf dosya içerikleri görüntülenebilir.

Spool dosya incelemesi ile süphelilerin hangi belgelerin yazici çiktilarini aldiklari ögrenilebilmektedir. Spool, shadow ve EMF dosyalari belgelerin çiktisi alindiktan sonra otomatik olarak silinirler. Ancak herhangi bir hata olustugunda, örnegin yazicida kagit bitmesi veya elektrik kesilmesi gibi, bu belgeler printers klasörü altinda dururlar. Eger bu dosyalar silinmis ise FTK ile carve edilerek görüntülenmeleri saglanabilir. Bu sekilde delile ulasilmis olunur. (Yada bu sekilde verilerinizide kurtarabilirsiniz)