Peralatan Inventarisasi Sebagian besar pemeriksa memiliki cukup beragam peralatan sehingga mereka dapat melakukan akuisisi suara forensik dalam beberapa cara. Putuskan sebelumnya bagaimana Anda ingin melakukan akuisisi situs secara ideal. Kita semua akan melihat peralatan menjadi buruk atau ketidakcocokan lainnya menjadi penghenti pertunjukan pada saat yang paling kritis. Pertimbangkan untuk membawa dua pemblokir tulis dan drive penyimpanan massal ekstra, dihapus dan siap. Di antara pekerjaan, pastikan untuk memverifikasi peralatan Anda dengan latihan hashing. Periksa kembali dan inventaris semua kit Anda menggunakan daftar periksa sebelum lepas landas.
Alih-alih mencoba membuat “tebakan terbaik” tentang ukuran yang tepat dari hard drive klien, gunakan perangkat penyimpanan massal dan jika ruang menjadi masalah, format akuisisi yang akan memampatkan data Anda. Setelah mengumpulkan data, salin data ke lokasi lain. Banyak pemeriksa membatasi diri pada akuisisi tradisional di mana mesin di-crack, drive dilepas, ditempatkan di belakang write-blocker dan diperoleh. Ada juga metode lain untuk akuisisi yang disediakan oleh sistem operasi Linux. Linux, yang di-boot dari drive CD, memungkinkan pemeriksa membuat salinan mentah tanpa mengorbankan hard drive. Cukup familier dengan proses untuk memahami cara mengumpulkan nilai hash dan log lainnya. Akuisisi Langsung juga dibahas dalam dokumen ini. Tinggalkan drive yang dicitrakan dengan pengacara atau klien dan bawa salinannya kembali ke lab Anda untuk dianalisis.
Diskusi panas terjadi tentang apa yang harus dilakukan ketika mereka menghadapi mesin yang sedang berjalan. Ada dua pilihan yang jelas; mencabut steker atau melakukan shutdown bersih (dengan asumsi Anda dapat masuk). Sebagian besar pemeriksa menarik steker, dan ini adalah cara terbaik untuk menghindari membiarkan segala jenis proses jahat berjalan yang dapat menghapus dan menghapus data atau perangkap serupa lainnya. Ini juga memungkinkan akses pemeriksa untuk membuat snapshot dari file swap dan informasi sistem lainnya seperti yang terakhir dijalankan. Perlu dicatat bahwa mencabut steker juga dapat merusak beberapa file yang berjalan pada sistem, membuatnya tidak dapat diperiksa atau diakses pengguna. Bisnis terkadang lebih memilih shutdown yang bersih dan harus diberi pilihan setelah dijelaskan dampaknya. Sangat penting untuk mendokumentasikan bagaimana mesin diturunkan karena itu akan menjadi pengetahuan yang sangat penting untuk analisis.