Экспертиза экспертизе рознь. Если телефон не представляет собой зашифрованный гаджет, а дело, по которому проходит устройство ведут по стандартным статьям обычные опера, то вся экспертиза может заключаться в осмотре телефона, прсомотре смс сообщений, сообщений из мессенджеров, истории браузеров, фото и видео материала, могут создать образ системы для дальнешей работы. Включен он был или выключен тут особо роли не играет для результата.

1) с телефона могли и выключеном состоянии снять образ, а потом включить для "живого" осмотра
2) при взлома акканута, посмотрят ВСЕ переписки, посмотрят истории посещений, посмотрят куда устройство конектилось
3) будут искать софт, который можно отнести к "хакерскому"
4) сделают поиски ников, псевдонимов.

основными доказательствами будет: a) логин и пароль от чужого аккаунта, который может быть обнаружен как в переписках, так и в виде файла на телефоне б) совпадение ip адреса устройства с ip адресом по которым был вход во взломанный аккаунт. Не обязательно это был смартфон, смартфон изымают вместе с другими цифрровыми вещ доками ( флешками, компьютерами, внешними дисками )