コマンド実行時に失われる可能性がある情報として、MACtime があります。MACtime も時間の経過と共に更新され失われますので、一種の揮発性情報だと個人的には考えています。タイムラインを追跡したことがある管理者であれば、MACtime の重要性は認識されていると思いますが、揮発性情報の取得で利用するコマンドを選択する場合には、MACtime への影響が極力ないものを選択する必要があります。
また、コンピュータ・フォレンジック的には削除領域を上書きしてしまう、つまりディスクへの書き込みを発生させるコマンドの実行は大変困ります。隠蔽工作ということであれば仕方が無いですが ;-)、まちがっても OS を STOP させて DUMP ファイルをディスクへ書いてしまうのは避けていただきたいと思うわけです。削除領域も時間の経過と共に上書きされ失われていきますので、一種の揮発性情報と考えたほうがよいかもしれません。