Existen numerosas aplicaciones dependientes del sistema operativo, sobre todo para la obtención de evidencias volátiles y del sistema de ficheros, para las no volátiles. Pueden ser tanto libres como de pago y, normalmente, no se utiliza una sola, aunque se disponen de aplicaciones, como The Coroner’s Toolkit –TCT- en Linux, enfocadas a proporcionar todas las herramientas necesarias para la obtención de evidencias.

También en el mundo Linux, han surgido los live-cd específicos para el análisis forense (p.e. Knoppix) que incluyen las herramientas actuales en Linux para la búsqueda de evidencias digitales.

Existen herramientas de red (p.e. netstat y arp) que permiten obtener datos como las conexiones abiertas, puertos en escucha y se encuentran tanto en sistemas Windows como en Unix. Con ellas se pueden obtener evidencias volátiles referentes a la red en estos sistemas.

Para recopilar evidencias digitales no volátiles, en Linux se encuentran comandos del sistema como debugfs y string que permiten buscar, por ejemplo ficheros borrados en sistemas de ficheros ext2 o cadenas en ficheros ejecutables, particiones swap, etc.

Para el análisis de la información obtenida es muy recomendable poseer un gestor de base de datos en el que podamos insertar la información que vamos obteniendo. Se puede así realizar consultas complejas con SQL, cruzar datos, y visualizar, de esta manera, más información de la que proporcionan los datos individualmente. Un recurso, siempre disponible, es que los administradores se creen sus propios programas que automaticen la búsqueda de determinada información.