São dados cuja perda pode se dar rapidamente. Por esse motivo, devem ser recolhidos enquanto a máquina estiver ligada. Todo cuidado é pouco, pois qualquer erro pode resultar na alteração e até mesmo na perda de evidências. Programas como bombas lógicas são instalados para realizar um tarefa mal intensionada quando determinado evento ocorrer, e uma dessas tarefas normalmente é a exclusão de arquivos.

Exemplos de dados voláteis são o conteúdo presente na memória cache, na memória RAM, nos processos em execução e na própria rede, como veremos à seguir.

A análise do tráfego da rede pode revelar os passos dados pelo atacante durante a invasão do sistema. Para tal, são usados os chamados programas sniffers, ou farejadores, para capturar pacotes de uma rede. O mais famoso desses programas é o Wireshark, antigamente chamado de Ethereal. Vejamos alguns exemplos simple do que ele pode fazer:

Aqui, vemos uma requisição de um notebook de endereço MAC 00:14:a5:ab:79:22 para se conectar ao roteador.

Nessa segunda figura, podemos ver que o usuário do notebook acessou o Gmail com o nome de usuário thiagocrd.