この章では UNIX をターゲットに技術的な手法を解説していますが、一点だけ突っ込みを入れたい個所がありました。
「12.2.2 不揮発性データの捕捉」で解説されている 1CD-LINUX についてです。ここでは F.I.R.E などの CD-ROM から起動する Linux が紹介されています。
HELIX がリストに無いというのは置いておくとして、1CD-Linux に限らず（調査対象のシステムの）起動に使う OS （やアプリケーション）は、調査（複製）対象に書き込みを行わないものが必要になります。*1
例えば、KNOPPIX を使う場合には noswap オプションを指定する必要がある場合もあるので、HELIX のように予め Forensics 用途にカスタマイズされているものを使うほうが安全かもしれません。
起動に使う OS やアプリケーションが HDD への書き込みを行うかわからない場合には、書き込みを禁止する装置を挟んで使ったほうが安全ですね。