Live Forensics to technika zbierania dowodów elektronicznych z systemów komputerowych bez ich wyłączania. Technikę tę stosuje się przede wszystkim podczas analizy systemów, w których niemożliwe jest zastosowanie zabezpieczania post mortem ze względu na to, że systemów tych nie można wyłączyć.Tak jest w przypadku serwerowni metanomierzy w kopalniach lub serwerów hostujących ważne aplikacje biznesowe. W tych sprawach konieczne jest zabezpieczenie dowodów bez wyłączania komputerów. Live Forensic pozwala również na skopiowanie informacji z komputera, którego nośnik trwały może być zaszyfrowany, a komputer ten jest włączony. W takim wypadku, przed wyłączeniem, istnieje możliwość skopiowania danych, których rozszyfrowanie nie będzie możliwe. Techniki Live Forensics są również niezbędne w przypadku zabezpieczania pamięci RAM, która jest cennym źródłem dowodów we wszystkich sprawach – począwszy od analiz powłamaniowych oraz malware, na nieuczciwości pracowników kończąc, gdzie maile lub rozmowy komunikatorów będą znajdowały się w pamięci, mimo wyłączonych archiwów komunikatorów. Zastosowanie Live Forensic może oznaczać również znaczną oszczędność czasu zabezpieczenia dzięki wykorzysta niu Triage. Dzięki tej technice możliwe jest przeanalizowanie materiału dowodowego na miejscu zabezpieczania i pominięcie kopiowania nieistotnych nośników. Targeted Triage z kolei, pozwala na zabezpieczenie tylko wybranych danych (bez kopiowania całych nośników), co jest szczególnie istotne np. w sprawach gdzie na serwerze z danymi znajdują się informacje wielu podmiotów, a nie tylko „podejrzanego”. Zasady gromadzenia dowodów w technice Live Forensic są dokładnie takie same jak w technikach „tradycyjnych”. Jak zwykle ważna jest dbałość o integralność dowodu. Konieczne jest także przedstawienie sposobu, w jaki zebrano dowód przedstawiając kolejne etapy tego procesu.
Żadne z działań podejmowanych przez śledczych komputerowych nie może powodować zmian w informacji przechowywanych na nośniku, jeśli mają one być użyte w sądzie. Oznacza to, że wykorzystywane narzędzia powinny spełniać zasadę „wiem wszystko – nie zmieniam nic”. Obowiązuje praca w trybie read-only, a niezbędne zmiany systemu związane z wykorzystaniem narzędzi powinny być minimalizowane oraz dokumentowane.
Osoba, która uzna za koniecznie uzyskanie dostępu do oryginalnych danych przechowywanych na komputerze musi mieć odpowiednie kompetencje do przeprowadzenia tej czynności oraz do złożenia wyjaśnień w celu określenia konieczności i konsekwencji podjętych działań a wszelkie działania powinny być należycie udokumentowane.
Konieczne jest stworzenie i zachowanie zapisu badania lub innych działań i procesów wykonanych na dowodzie elektronicznym wraz ze wskazaniem metodologii i użytych narzędzi. Niezależna osoba trzecia powinna być w stanie uzyskać te same rezultaty przy ponownym zastosowaniu tych samych procesów.
Informatyk śledczy jest odpowiedzialny za to, aby dowody zbierane były z powyższymi zasadami oraz w celu zapewnienia, że materiały dowodowe są gromadzone jest zgodnie z prawem – dowód zebrany technikami Live Forensic podlega tym samym regułom prawa, co dowody zbierane w sposób tradycyjny. Strona postępowania ma obowiązek udowodnienia, jeśli powstanie taka wątpliwość, że dowód przedstawiony w sądzie nie został w żaden sposób zmieniony od czasu jego zabezpieczenia. Live Forensics jest nowoczesną techniką zabezpieczania danych, która może być z powodzeniem stosowana w wielu sprawach zarówno cywilnych jak i karnych. Oczywiście, wszędzie gdzie to możliwe, w celu zastosowania się do zasad zbierania dowodów elektronicznych , powinno wykonywać się kopię binarną całego nośnika danych. Częściowe lub selektywne kopiowanie plików może być uznane za alternatywę jedynie w określonych okolicznościach, np., gdy ilość danych przeznaczonych do skopiowania czyni wykonanie kopii całościowej niemożliwym lub zaistniały określone ryzyka – np. nośnik jest zaszyfrowany. Jednakże śledczy powinny być pewni, że w takim wypadku zabezpieczyli wszystkie istotne dowody oraz użyli odpowiednich narzędzi.
