Conservação de Material
Quando ocorre um incidente, se desligarmos o computador, perderemos todas os dados voláteis que podem ser cruciais na forense. O que fazer? Pra piorar, não podemos mudar nada no sistema, ou poderemos estar apagando ou manipulando provas. Algumas espécies de backup ou snapshot ajudam, como:
Espelhamento
Usa-se um disco vazio para copiar os dados bit a bit do disco atacado. Esse disco deve ser exclusivo só para o espalhamento e o espaço de sobra deve sofrer várias limpas a fim de não compremeter a análise com lixo de dados.