Pozyskiwanie i gromadzenie dowodów elektronicznych na potrzeby cyfrowego postępowania sądowego to wieloetapowy proces, wymagający zachowania odpowiednich procedur i środków technicznych zapewniających niezmienność materiału dowodowego.
Dowody cyfrowe na potrzeby postępowania sądowego mogą być pozyskiwane z wielu źródeł. Do źródeł oczywistych należą dyski twarde pracujące w laptopach i komputerach stacjonarnych, komórki i smartfony, aparaty cyfrowe, pendrive, karty pamięci, a nawet płyty CD i DVD. Do nieoczywistych źródeł mogą należeć czytniki RFID oraz strony internetowe. Niezależnie do rodzaju źródła, wszystkie z nich należy zabezpieczyć dla celów dowodowych, ze względu na możliwość modyfikacji ich wyglądu i zawartości. Ostrożność w tym zakresie należy zachować także w trakcie samych prac zabezpieczających, by omyłkowo nie zniekształcić oryginalnego zapisu. A przypadkowej modyfikacji można nawet nie zauważyć, tym bardziej trudno jest przywrócić zawartość nośnika do stanu pierwotnego, sprzed zmiany – każda czynność wygeneruje bowiem kolejne aktualizacje, a informacje o nich zostaną zapisane w pamięci nośnika.
Dopiero po wykonaniu binarnej kopii nośnika, tworzonej przy wykorzystaniu blockera, którego zadaniem jest ochrona przed jakimkolwiek zapisem na dysku źródłowym w trakcie prac, można przystąpić do prac analitycznych nad pozyskanym materiałem cyfrowym.
Badanie zawartości nośnika polega przede wszystkim na poszukiwaniu wybranych treści, wskazanych przez zleceniodawcę – organ prowadzący postępowanie, bądź klienta prywatnego. W efekcie prac opracowywany jest dokument zwany ekspertyzą, bądź opinią, obejmujący raport z wykonanych czynności oraz osiągnięte wyniki. Prace z zakresu informatyki śledczej uważa się za wykonane, nawet jeśli opinia jest negatywna, tzn. nie ujawnia dowodów na poparcie postawionych hipotez.
Wszelkie prace nad analizą materiału elektronicznego należy także dokumentować, co pozwoli w razie potrzeby na weryfikację, czy proces dowodowy przebiegał prawidłowo, z zachowaniem łańcucha dowodowego i żaden jego element nie został pominięty. Z drugiej zaś strony dokumentacja taka może wpłynąć na niepodważalność dowodu, jeżeli druga strona wnosiłaby o jego niedopuszczenie, bądź unieważnienie. W miarę możliwości dobrze jest utrwalić cały proces np. w postaci zapisu video.
W dalszej kolejności materiały źródłowe należy zabezpieczyć nie tyko przed zmianą zapisów logicznych, ale również przed zaborem przez osoby nieuprawnione, bądź zniszczeniem mechanicznym.
Proces gromadzenia oraz analizy materiału cyfrowego wymaga dużej uwagi i skrupulatności, tak by ekspertyza opracowana przez informatyka śledczego mogła spełnić swą rolę dowodową i nie została uznana za wykonaną niezgodnie z obowiązującymi zasadami.
