Es ist wichtig, ein laufendes Computersystem nicht neu starten, da dadurch wichtige temporäre Dateien unwiderruflich verloren gehen können. Daher ist es wichtig, den aktuellen, laufenden Zustand des Computers festzuhalten, ohne dessen Zustand zu verändern (bzw. so wenig wie möglich zu verändern). Dazu sollte keine graphischen Tools verwendet werden, da diese zu fehleranfällig sind. Weiters ist es zu empfehlen, nicht die im System vorhanden Tools für die Aufzeichnung der Systemzustands zu verwenden, sondern dazu eine spezielle CD zu verwenden, welche die entsprechenden Tools enthält. Eine falsche Vorgehenweise kann hier wichtige Daten unwiderruflich vernichten. Das betreffende System darf unter keinen Umständen neu gestartet werden. Ein Betriebssystem verändert beim Systemstart zumindest die Zeitstempel von 1000 Dateien, teilweise auch deren Inhalt. Eine allgemeine Liste mit zu sicherenden Informationen und Vorgehensweisen findet sich weiter oben, in diesem Kapitel wird nur auf die speziell zu verwendenten Befehle unter Windows und Linux eingegangen. Eine sehr gute Möglichkeit für die Gewinnung dieser Informationen stellt die F.I.R.E. CD (Forensic and Incident Response Environment Bootable CD; https://www.dmzs.com/tools/) dar. Auf der CD befinden sich im Ordner statbins sowohl für Linux als auch für Windows statisch gelinkte Binaries der wichtigsten Systemdateien, die zum Sammeln der Informationen verwendet werden. Eine andere Möglichkeit wäre z.b. die Verwendung von cygwin (http://www.cygwin.com) bzw. der UnixUtils (http://unxutils.sourceforge.net) unter Windows sowie eine beliebige Live-CD unter Linux zu verwenden.