En Security Focus escriben un interesante artículo sobre un sistema que ha sido hackeado y que debe hacer el investigador para hacer el analisis forenses offline antes de apagar la compu..."Durante el proceso de respuesta ante un incidente de seguridad, a menudo es posible encontrar que el sistema comprometido no ha sido apagado aún por el administrador. Esto brinda una gran oportunidad para obtener mucha información de valor, irrecuperable tras el apagado de la máquina. Nos referimos a cosas como: procesos en ejecución, puertos TCP/UDP abiertos, imágenes de programas borrados pero aún residentes en memoria, el contenido de los buffers, colas de petición de conexión, conexiones establecidas y módulos cargados en la memoria virtual reservada al kernel de Linux..."

El artículo completo aquí