マイクロソフトの法執行機関向け COFEE が話題になっているようですが、HBgary のブースでは以下の資料の印刷物が配布されていました。

Collecting Evidence from a Running Computer:
A Technical and Legal Primer for the Justice Community
http://www.search.org/files/pdf/CollectEvidenceRunComputer.pdf
http://www.search.org/programs/hightech/publications.asp

稼働中のシステムからのデータ収集について、幾つかのステップに分けて解説されている資料です。例えばメモリダンプから、IM のやり取りを追跡するとか具体的な利用例も少し記述があります。
このPDFの8ページの脚注8で dd の作者として紹介されているのが、現在の GMG Systems, Inc の社長さんですね。

GMG Systems, Inc.
KnTTools with KnTList
http://www.gmgsystemsinc.com/knttools/

最近ちょっとチェックできていなかったので、Vista に対応していることを知らなかったのですが、Vista Sp1、XP Sp3 にもすでに対応しているようで、対応が早いです。