Ademas de Helix (Imprescindible), un "tcnico de anlisis forense" utiliza sobre todo, una herramienta que se llama fastblock, que monta las particiones en solo lectura, o bien utilizar CUALQUIER DISTRIBUCION para realizar una imagen "dd" del disco duro en cuestion. Adems se suele recurrir a herramientas de pago (increblemente caras).
Efectivamente, vanalizar diciendo que una ubuntu live basta, es como decir que un curso de ofimtica te convierte en programador.