Metodologi computer forensik › Pelestarian : Penyidik forensik harus menjaga integritas dari bukti asli . Bukti Asli tidak boleh
dimodifikasi atau rusak › Identifikasi : Sebelum memulai penyelidikan , pemeriksa forensik harus mengidentifikasi bukti dan
lokasi . Misalnya , bukti mungkin
terkandung di dalam hard disk , removable media , atau file log
› Ekstraksi : Setelah mengidentifikasi bukti, pemeriksa harus mengambil data dari itu . Karena data
volatil bisa hilang pada setiap titik , dibuat dari bukti asli
penyidik forensik harus mengambil data ini dari salinan yang
› Interpretasi : Peran paling penting pemeriksa forensik memainkan selama investigasi adalah
untuk menafsirkan apa yang dia telah benar- benar menemukan › Dokumentasi : Dari awal penyelidikan sampai akhir ( ketika bukti yang dikemukakan sebelum
pengadilan ) , pemeriksa forensik harus menjaga dokumentasi yang berkaitan dengan bukti