主には TSK&Autopsy と Ethereal ですが、Zeitline が結構活躍していたみたいですね。あとは定番の HELIX で chkrootkit とか dcfldd とか nc というある意味王道なセットによる実習ですね。
今回の調査対象では意図せず？！アンチ・フォレンジックな手法が取られていたりして、解析に少し手間取る部分もあったようですが、ツールの限界とかもわかっていただけたのではないかと考えています。