Mesmo que não haja intenção de se instituir um processo criminal, toda investigação deve considerar como prática padrão a utilização de metodologias e protocolos que garantam sua possível aceitação em uma corte de justiça. Tratar todo caso com a formalidade de um processo criminal ajuda a desenvolver bons hábitos de investigação. Nesse sentido, existem alguns aspectos chave que constituem as etapas do processo de análise forense de um sistema computacional: 

            - coleta de informações (ou information gathering);

            - reconhecimento das evidências;

            - coleta, restauração, documentação e preservação das evidências encontradas;

            - correlação das evidências;

            - reconstrução dos eventos; 

 Toda informação relevante deve ser coletada para análise e, conforme as evidências digitais são encontradas, elas devem ser extraídas, restauradas quando necessário (evidências danificadas ou cifradas, por exemplo), documentadas e devidamente preservadas. Em seguida, as evidências encontradas podem ser correlacionadas, permitindo a reconstrução dos eventos relacionados ao ato ilícito. Muitas vezes a análise das evidências (correlação e reconstrução) resulta na descoberta de novas informações, formando um ciclo no processo de análise forense.