Heiser; Kruse (2001) alertam que a coleta de dados é uma das etapas mais sensíveis de uma investigação forense computacional, pois nesta fase qualquer descuido por parte do investigador poderá interferir diretamente na validação das evidências coletadas.

Cagnani; Santos (2008) defendem que o tipo de dado envolvido no incidente que está sendo investigado, também é importante na determinação do tipo de análise e ferramentas que serão utilizadas na perícia. Os autores sugerem dois tipos de dados a serem investigados, os dados voláteis e os não-voláteis, estes podem ser observados na tabela 1. São considerados voláteis segundo os autores todos os dados não gravados em algum tipo de mídia permanente, ou seja, os dados que são gerados em tempo de execução, que serão perdidos se a máquina envolvida for desligada. E são considerados como dados não-voláteis, todos os dados gravados de forma permanente ou não em algum tipo de mídia, ou seja, os dados que mesmo que sejam considerados temporários pelo Sistema que ainda estejam gravados em disco, podendo ser recuperados depois que a máquina seja desligada.

Para a coleta de dados voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 2. E para coleta de dados não voláteis Junior; Saúde; Cansian (2005) sugerem o uso das ferramentas listadas na tabela 3.