Você não faz isso.
Na verdade, existem duas escolas de pensamento em relação à imagem do disco forense.
O método oldschool era desconectar o PC imediatamente , e fazer imagens da unidade em esse estado , para garantir que nada fosse alterado. Também assegurou um certo grau de negação plausível ...
E isso não funcionou muito bem no momento em que as pessoas perceberam que você poderia criptografar uma unidade com uma senha.
Enquanto a captura forense live não garante que nada seja ever alterado, com o registro correto, você sabe o que o examinador tem feito. Também é útil, pois se o suspeito não tiver trancado o sistema, provavelmente você pode obter dados suficientes copiados para descobrir o que está acontecendo.
I learned in forensics you can deploy an agent to a remote computer and have it retrieve an exact copy of the remote hard drive, including unallocated space and swap, even while it is being used. This copy gets sent to your pc over the internet by the agent and then you can work on it on your pc.
Parece que você está confundindo ambos os processos - você também executará um agente e outras ferramentas em um viveiro, ou colocará o disco rígido na imagem nos métodos 'tradicionais' ou usará ao vivo ferramentas, ou bom e velho trabalho investigativo em um sistema em execução. Você não pode obter uma cópia forense adequada em um sistema em execução.
EnCase , por exemplo, permite trabalhar em um VHD ou VMDK feito com outra ferramenta - mas você não é vai executá-lo diretamente em um sistema que está sendo investigado.