Pilihan lain adalah melakukan akuisisi langsung. Beberapa mendefinisikan “hidup” sebagai mesin yang sedang berjalan seperti yang ditemukan, atau untuk tujuan ini, mesin itu sendiri akan berjalan selama akuisisi melalui beberapa cara. Salah satu metodenya adalah mem-boot ke lingkungan Linux yang disesuaikan yang mencakup dukungan yang cukup untuk mengambil gambar hard drive (seringkali di antara kemampuan forensik lainnya), tetapi kernel dimodifikasi untuk tidak pernah menyentuh komputer host. Versi khusus juga ada yang memungkinkan pemeriksa memanfaatkan fitur autorun Window untuk melakukan Incident Response. Ini membutuhkan pengetahuan lanjutan tentang Linux dan pengalaman dengan forensik komputer. Akuisisi semacam ini sangat ideal ketika karena alasan waktu atau kompleksitas, membongkar mesin bukanlah pilihan yang masuk akal.
Kekeliruan yang luar biasa kurang ajar yang sering dilakukan pemeriksa adalah mengabaikan untuk mem-boot perangkat begitu hard disk habis. Memeriksa BIOS sangat penting untuk kemampuan melakukan analisis yang sepenuhnya divalidasi. Waktu dan tanggal yang dilaporkan di BIOS harus dilaporkan, terutama jika zona waktu menjadi masalah. Berbagai macam informasi lain tersedia tergantung pada produsen apa yang menulis perangkat lunak BIOS. Ingatlah bahwa produsen drive juga dapat menyembunyikan area tertentu dari disk (Area yang Dilindungi Perangkat Keras) dan alat akuisisi Anda harus dapat membuat salinan bitstream penuh yang memperhitungkannya. Kunci lain yang harus dipahami oleh pemeriksa adalah bagaimana mekanisme hashing bekerja: Beberapa algoritme hash mungkin lebih disukai daripada yang lain tidak harus karena kesehatan teknologinya, tetapi untuk bagaimana mereka dapat dirasakan dalam situasi ruang sidang.
Gambar yang diperoleh harus disimpan di lingkungan yang terlindungi dan tidak statis. Pemeriksa harus memiliki akses ke brankas yang terkunci di kantor yang terkunci. Drive harus disimpan dalam kantong antistatis dan dilindungi dengan menggunakan bahan kemasan non-statis atau bahan pengiriman asli. Setiap drive harus ditandai dengan nama klien, kantor pengacara dan nomor bukti. Beberapa pemeriksa menyalin label drive pada mesin fotokopi, jika mereka memiliki akses ke salah satu selama akuisisi dan ini harus disimpan dengan dokumen kasus. Pada akhirnya, setiap drive harus terhubung dengan dokumen lacak balak, pekerjaan, dan nomor bukti.