Por lo que sé, evidence
generalmente se define como
Cualquier información de valor probatorio que se almacene o
transmitido en forma digital
Por lo tanto, la evidencia es la información que se puede utilizar en el tribunal de justicia para respaldar su caso.
Cuando adquiere datos de una fuente como registros, archivos de datos o imágenes, los analiza y encuentra si hay algo sospechoso allí que ayude a su caso en la corte. Así que cuando preguntas
Generación de imágenes de la RAM en un sistema en vivo;
Recuperar registros de un servidor web en ejecución;
Estas son fuentes desde donde adquiere datos para realizar investigaciones. Usted mira dentro de ellos y encuentra algo de valor creíble para ayudar a su caso en la corte. Si encuentra algo que un proceso malintencionado estaba utilizando la RAM, entonces se convierte en evidencia. Si no encuentra nada en los archivos de registro, los guarda en el archivo del caso, independientemente de si es de valor o no. Es como una evidencia física real. Si el murciélago manchado de sangre con huellas dactilares es suficiente para probar el crimen, no tiene sentido presentar la huella de un perro que fotografió durante su visita a la escena del crimen por si acaso. Técnicamente, son propiedad del equipo de investigación y se mantienen como evidencia en su archivo de caso.
Espero que tengas la idea. :)