O próximo passo na análise pericial é a correlação das evidências. Em quase todos os casos é preciso correlacionar as informações extraídas do sistema invadido, tanto para comprovar uma suspeita ou para a identificação de novas pistas, trazendo um maior entendimento sobre o incidente ocorrido.

A relação entre duas ou mais informações pode ser estabelecida segundo vários parâmetros como, por exemplo, registros de tempo, relações de causa e efeito, e números de identificação (PID, UID, GID, endereços IP e portas de serviços de rede, entre outros). Por isso, as evidências encontradas devem ser bem descritas, contendo os dados necessários para um relacionamento.