以前にケーキ系メーリングリストで議論されていたこともありましたが、調査を依頼されるときの証拠保全という手順にはいろいろな注意点があります。調査者としては、コンピュータの内部の状態ができる限り侵害されたときそのままであることが望ましいのですが、「そのままの状態」というのが意外と難しいものだったりします。
そもそも侵害なりの事象が発生してから時間が経過しすぎてしまうと、「そのまま」であるとは言い難いですし、侵害直後であっても保全方法によっては「そのまま」というのを損なってしまうことがあります。
最ものぞましい「そのまま」という状態は、ネットワーク接続など周辺環境も含めて全く「そのまま」である状態なのですが、一方で侵害とかが現実に進行中である場合には何らかの対策を講じなければなりません。まず最初の判断はネットワークから隔離するか、ということなのですが、議論にもあったとおり通信がまさに継続しているときに隔離してしまうと厳密に言えばそれだけで変化してしまいますし。
標準的な手順とテンプレート、フローチャートのようなものがあると良いですね。