Los procedimientos llevados a cabo se dividen en las siguientes etapas:  

1) Adquisición: significa copiar de una manera especial el contenido en bruto de la información del sistema en observación. Luego se trabajará sobre esta copia dejando intacta la información original. Esta tarea se hará no arrancando la computadora por los medios convencionales sino accediendo a los volúmenes en modo de sólo lectura para que ni un byte sea alterado desde el momento en que empieza nuestra intervención. Hay que tener en cuenta que el simple booteo (arranque) de una computadora altera por lo menos algunos archivos en sus contenidos y fechas, varía la cantidad total de archivos, etc. Lo mismo ocurre cuando abrimos un archivo aunque más no sea para leerlo o imprimirlo. Se puede rastrear todo este tipo de actividad en una computadora. La adquisición puede involucrar desde un disquette o un disco rígido de una computadora hasta un conjunto de discos de un servidor, un juego de cintas, o varias computadoras de una organización.    

2) Validación y preservación de los datos adquiridos: Por medios matemáticos se debe calcular de manera normalizada un código único correspondiente a esa combinación única de bytes que constituye la totalidad del medio en observación. Este código de validación ha de ser lo suficientemente complejo como para impedir que sea generado en forma reversa con fines dolosos y normalizado como para que cualquier auditor independiente pueda por su cuenta verificar la autenticidad de la imagen tomada y así establecer una cadena de custodia consistente .Desde este momento ya se pueden efectuar copias exactamente iguales de la imagen a los efectos de que diferentes actores puedan conservar una copia de seguridad.

3) Análisis y descubrimiento de evidencia: se procede a realizar una batería de pruebas en el laboratorio sobre la copia validada. Es posible analizar y buscar información a muchos diferentes niveles. Partimos de la base de que el usuario sospechoso de una actividad ilícita puede haber borrado la información que lo compromete o pudo haberla ocultado almacenándola por medios no convencionales. Estas búsquedas están orientadas por cada caso en particular y aquí contamos con la información que provee quien solicita el servicio. Se pueden buscar:

• archivos borrados, archivos creados, accedidos o modificados dentro de determinado rango de fechas, 

• tipos de archivos con un formato particular que hayan sido alterados, por ejemplo archivos de un sistema de contabilidad renombrados como archivos de un procesador de texto, 

• imágenes, mensajes de correo electrónico, actividad desarrollada en internet,

• a diferentes niveles palabras claves tales como un número telefónico, el nombre de una ciudad o una empresa, etc. 

    En base a este análisis se determina un patrón de comportamiento del usuario en cuanto a la creación, modificación y borrado de mensajes, actividad de correo electrónico, etc.

4) Informe: se presenta un informe escrito en un lenguaje a la vez técnico y claro y un CD donde se hace accesible al usuario no especializado de una forma ordenada la evidencia recuperada y su interpretación.

Aunque a menudo se subestima la importancia de los pasos 1) y 2) y se considera el paso 3) el específico de la informática forense, hay que tener en cuenta que la evidencia informática es por definición frágil y puede ser alterada haciendo que la misma pierda su validez frente a un tribunal.