翻訳編のP54では、基本戦略として4つの考え方があげられています。

①特定のファイルを印刷（プリント）
②特定のファイルを複製（コピー）
③記憶装置のミラー・イメージ作成
④押収（現場から運び出す）

このうち、１と２は特定のデータだけを対象としているため、P54〜55の本文中にも書かれていますが、タイムスタンプなど失われるデータも発生します。
そこで、一般的には３か４が取られると記述があるわけですが、技術的には最近の傾向として専用ソフトウェアを利用して２を実現しようとする流れもあったりします。
従来の単なるファイルコピーでは当然アレなわけですが、商用系のコンピュータ・フォレンジック ソフトでは、２であっても失われる情報を最小限にするような仕組みを持ち始めています。これは（複製のための）停止をできないシステムが増えてきたこと、最近日本でも刑法関連で話題になっているネットワーク上にあるデータに対する扱いなどがある為だと思われます。３の記憶装置（ハードディスクとか）のイメージ作成は、記憶装置の大容量化に伴い非常に時間のかかる作業になってきています。必要な部分だけを複製したいというニーズは今後ますます増えるんでしょうね。この辺りは少し掘り下げて議論してみたいところでもあります。
この話題に関連して、参加者の方からすでに ISP などが行っているログファイルの部分的な提出などについて貴重なコメントをいただいたりしました。この話に少し関連するのですが、スライド５では「論理・物理 コピー P58〜59」ということで、ログ ファイルの提出のような、論理サイズでのデータコピーと、スラックスペースを含む物理サイズでのコピーについて少し触れました。これは図で示したので図を参照してください（笑）
いずれにせよ、コンピュータ・フォレンジック ツールであれば、論理サイズでの複製と、物理サイズでの複製の機能を一般的に持っています。