ディスク全体での暗号化を考慮しない場合、通常は黄色い項目「起動・複製・確認」で利用するツールに注意を払えばよいわけですが、ディスク全体が暗号化されている場合にはリカバリ処理「復号化」に使うツールにもフォレンジック的な視点を持つ必要があります。
特に、複製元をいきなりリカバリ処理することは、リカバリ処理が万が一途中で失敗した時のことを考慮するととても危険です。複製したフォレンジック・イメージに対してのリカバリ処理が可能となっているかを事前に十分確認する必要があります。
逆に、暗号化製品やツールを選択する場合には、リカバリ処理がどうなっているか十分検討してから選択したほうがよいかもしれません。リカバリ処理がまともにできないツールを使っている場合、アンチ・フォレンジックとしては有効かもしれませんが、調査したくてもできないという状況に陥る可能性があります。*1
いずれにせよ、一連の処理に使ったツールやファームウェアは記録として残しておく必要があります。