インシデントが発生したシステムが重要になればなるほど、（運用上）電源断は難しくなるでしょうし、迅速な復旧を望まれると思います。「犯罪捜査 vs 企業活動」という点では、犯罪捜査に必要となる電源断が、実際に受けた被害額より多いとなると困りますやね。
そんなこんなで？、なるべく電源を落とさずに証拠保全やら復旧を行う方向へ流れているわけですが、システムを稼働させたまま復旧という面ではいろいろと懸念事項があります。*1
rootkit やバックドアが仕掛けられたままだったりすると困りますので、そういったものが仕掛けられていないかを調査したりする必要もあります。
ウイルススキャンや、rootkit を発見するツールを使って調べたくなるわけですが、本番環境にいきなりそれらをインストール&実行して、OS が STOP したりすると意味がないですやね。
それに、本番環境で日頃使ったことないコマンドやプログラムを実行したり、参考書籍を片手にゴソゴソ調べる*2のも微妙な気がします。こいう場合は複製した環境で調べるほうが安全・確実だと思うので、昨日の小ネタへと続くわけですね。