De acordo com a RFC 3227, que define diretrizes para coleta e
arquivamento de evidências, a ordem de volatilidade das
evidências deve ser considerada em uma coleta, iniciando-se pela
mais volátil e seguindo até a menos volátil.
a) Tabela de roteamento, cache ARP, tabela de processo,
estatísticas do kernel, memória - Registros, cache - Sistemas
de arquivos temporários - Disco - Registro remoto e dados de
monitoramento relevantes - Configuração física, topologia de
rede - Mídias externas;
b) Registros, cache - Tabela de roteamento, cache ARP, tabela
de processo, estatísticas do kernel, memória - Sistemas de
arquivos temporários - Disco - Registro remoto e dados de
monitoramento relevantes - Mídias externas - Configuração
física, topologia de rede;
c) Configuração física, topologia de rede - Registros, cache -
Tabela de roteamento, cache ARP, tabela de processo,
estatísticas do kernel, memória - Sistemas de arquivos
temporários - Disco - Registro remoto e dados de
monitoramento relevantes - Mídias externas;
d) Registro remoto e dados de monitoramento relevantes -
Registros, cache - Tabela de roteamento, cache ARP, tabela
de processo, estatísticas do kernel, memória - Sistemas de
arquivos temporários - Disco - Configuração física, topologia
de rede - Mídias externas;
e) Registros, cache - Tabela de roteamento, cache ARP, tabela
de processo, estatísticas do kernel, memória - Sistemas de
arquivos temporários - Disco - Registro remoto e dados de
monitoramento relevantes - Configuração física, topologia de
rede - Mídias externas.