İlk olarak, bilgisayarları araştıranlar, aramalarını yapılandırmak için aradıkları potansiyel kanıtları anlamalıdır. Bilgisayar yoluyla işlenen suçlar, çocuk pornografisinden kişisel bilgilerin çalınmasına ve fikri mülkiyetin tahrip edilmesine kadar, cezai faaliyet yelpazesinde çeşitlilik gösterebilir. İkinci olarak, araştırmacı kullanmak için uygun araçları seçmelidir. Dosyalar silinmiş, hasar görmüş veya şifrelenmiş olabilir ve araştırmacı kurtarma işleminde daha fazla hasarı önlemek için bir dizi yöntem ve yazılıma aşina olmalıdır.

Dijital Adli Bilişim iki temel veri türü toplanmaktadır. Kalıcı veriler, yerel bir sabit sürücüde (veya başka bir ortamda) depolanan ve bilgisayar kapatıldığında korunan verilerdir. Geçici veriler, bellekte depolanan veya içinde mevcut olan ve bilgisayar güç kaybına uğradığında veya kapatıldığında kaybolacak verilerdir. Geçici veriler, kayıt defterlerinde, önbellekte ve rastgele erişim belleğinde (RAM) bulunur. Geçici veriler kısa ömürlü olduğundan, bir araştırmacının onu yakalamanın güvenilir yollarını bilmesi önemlidir.

Sistem yöneticileri ve güvenlik personeli ayrıca, rutin bilgisayar ve ağ yönetim görevlerinin hem adli süreci (mahkemede kanıtların kabul edilebilirliği) hem de daha sonra tanımlama ve güvenlik olayı analizleri için kritik olabilecek verileri kurtarma yeteneğini nasıl etkileyebileceği konusunda temel bir anlayışa sahip olmalıdır.