O primeiro passo para o início da análise pericial é a coleta de informações. O investigador pode coletar informaçoes através do sistema atacado, recuperando dados perdidos ou escondidos, como também pode coletar dados através da interceptação do tráfego da rede.
Não é uma tarefa difícil para o investigador coletar informações através da interceptação do tráfego de rede, basta estar conectado fisicamente com a onda magnética que está transmitindo as informações. Só resta ao investigador entender o que está sendo transmitido, sendo necessário para ele saber em que protocolo os dados estão sendo transmitidos e também saber como decifrar a mensagem. Em redes sem fio é bem mais fácil escutar as mensagens, já que é uma rede considerada insegura. O investigador somente precisa estar no raio de alcance do sinal da onda.
Outro meio de coletar dados é com a recuperação de dados. Pode-se recuperar arquivos deletados de uma máquina, já que quando os dados dão deletados, eles não são apagados, somente o ponteiro que aponta para ele, sendo assim o sistema considera o espaço livre, mas o arquivo ainda está lá e pode ser recuperado. Também é possível recuperar dados fazendo a análise física do disco, mesmo que este esteja destruído ou que arquivos tenham sido sobreescritos, já que vestígios dos arquivos antigos permanecem.
É possível também quebrar a criptografia usada por alguns criminosos para proteger seus arquivos, pois muitas vezes eles utilizam métodos de criptografia fracos, bastando apenas utilizar-se a ferramenta certa para isso.
Outra maneira de coletar informações é procurar em históricos de navegadores de internet, que armazenam dados dos usuários, como também outros aplicativos, que mesmo sem o conhecimento do usuátio, usam algum tipo de armazenamento de dados.