Kali Linux “Vivo” (Live) proporciona un “modo forense”, una característica introducida primero en BackTrack Linux. La opción "Inicio vivo en modo forense" ha probado ser muy popular por varias razones:

• Kali Linux está disponible de manera amplia y fácil; muchos potenciales usuarios ya tienen una ISO de Kali o unidades USB de iniciables.
• Cuando surge una necesidad forense, Kali Linux “Vivo” permite sea rápido y fácil poder trabajar con Kali Linux.
• Kali Linux viene previamente cargado con el software forense de fuente abierta más popular, un conjunto de herramientas útil cuando se necesita realizar un trabajo forense.

Cuando se inicia en el modo de inicio forense, existen algunos cambios muy importantes en el funcionamiento regular del sistema:

1. Primero, el disco duro interno nunca es tocado. Si existe una partición de intercambio (swap), no se utilizará, y no se montará automáticamente ningún disco interno. Esto se verificó tomando primero un sistema estándar y eliminando el disco duro. Se generó un hash desde la unidad utilizando un paquete forense comercial. Luego se volvió a conectar el disco hacia la computadora para iniciar Kali Linux “Vivo” en modo forense. Después de utilizar Kali por un período de tiempo, se apagó el sistema, se retiró el disco duro, y se generó nuevamente un hash. Estos hashes coincidieron, lo cual indica en ningún momento se cambió sobre el disco.

2. El otro igualmente importante es, se desactiva el montaje automático de medios extraíbles. Las memorias USB, CD, y similares no se montarán automáticamente cuando se inserten. La idea detrás de esto es simple: en modo forense, no debería pasarse nada hacia ningún medio sin la acción directa del usuario. Todo lo cual sea realizado como usuario depende como es consecuente, del usuario.

Si planea utilizar Kali para cualquier tipo de análisis forense del mundo real, se recomienda no confiar simplemente en lo antes descrito. Todas las herramientas forenses siempre deben validarse para saber como se comportarán en cualquier circunstancia en las cuales vayan a utilizarse. Finalmente, mientras Kali continúa enfocándose en proporcionar la mejor colección de herramientas para pruebas de penetración de fuente abierta disponibles, siempre es posible se haya pasado por alto alguna herramienta forense de fuente abierta importante. El proyecto siempre buscando herramientas de fuente abierta de alta calidad, la cuales puedan ser agregadas a Kali para mejorarlo aún más.

Fuentes:

https://www.kali.org/docs/general-use/kali-linux-forensics-mode/
https://www.kali.org/get-kali/#kali-live