SkyNezu

Я бы посоветовал:
1. Книги по устройству Windows, реестра. Начиная от ХР и до 10.
2. То же самое, только про *nix, если планируете с ним работать.
3. Особое внимание уделить созданию timeline.
4. Изучите Wireshark, тоже бывает нужным.
5. Попробуйте все популярные системы по цифовой криминалистике: Belkasoft, EnCase и т.п.
6. Сюда добавим log2timeline, Sysinternal Suite, FTK Imager, Event Log Explorer, программы для восстановления удаленной информации, программы для подбора пароля в архиве.
7. Пощупайте бесплатные образы LiveCD систем, коих полно, даже на хабре были статьи с описанием.
8. Снимите образ с какого-либо компа и попытайтесь определить чем занимался человек, кем рработал, с кем общался, какие сайты посещал и т.п. Со своего толку нет - вы и так все знаете.

Конкретно книг на русском по форензике нет. Хороших нет. Я бы посоветовал почитать "Digital Archaeology The Art and Science of Digital Forensics - Michael W. Graves" или как-то так она называется. Плюс обязательно блоги по форензике, их полно. Там периодически проскакивают хорошие видео на английском. Также найдите статьи МВД по форензике, есть полезные. Ну и русскоязычный форум поизучать, бывает проскакивают интересные посты.

Несет. Ибо есть:
ст. 273 УК РФ. Создание, использование и распространение вредоносных компьютерных программ
Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации.
Максимальные санкции: штраф до 200 000 рублей или лишение свободы до 7 лет.

Не нужно больше рассуждать. Четко прописано в законе. И уж тем более если захотят - посодют. Посмотрите судебную практику по этой статье.