Dijital adli işlem süreci, tanımlama, koruma, analiz, belgeleme ve sunum olmak üzere beş adımdan oluşur. Temel Dijital Adli İşlemler kitabının bir sonraki bölümü bu adımlara daha ayrıntılı olarak değinecek olsa da, aşağıda dijital adli bir soruşturmada nelerin olduğunu hızlıca özetleyeceğiz.
Tanımlama (Identification), herhangi bir dijital adli soruşturmanın ilk adımıdır. Soruşturmacı (veya soruşturma ekibi), cihazda hangi kanıtların bulunduğunu, nerede saklandığını ve hangi formatta saklandığını belirlemelidir. Dijital kanıtlar, metin mesajları, e-postalar, resimler veya videolar, web arama geçmişleri, belgeler, işlemler vb. gibi çeşitli formatlarda (formatlarında) ve bilgisayarlar, akıllı telefonlar, tabletler, fitness takip cihazları ve daha fazlası gibi çeşitli cihazlarda bulunabilir. Adli soruşturmacılar ayrıca cihazın perde arkası verisine, yani “artifaktlara”, işletim sistemi verilerine, kayıt defteri dosyalarına, Amcache dosyalarına, SRUM verilerine (sistem kaynak kullanımı) ve güç günlüklerine özellikle ilgi duyarlar, böylece cihaz kullanıcısının her eylemini bir araya getirebilirler.
Koruma (Preservation), Dijital soruşturmalarda tanımlamayı takip eden adım korumadır. Koruma, veriyi izole etmek, güvenceye almak ve korumak, aynı zamanda analiz edilip incelenebilecek bir kopya veya görüntü oluştururken, veriyi kopyalayarak veya görüntüleyerek odaklanır. Bu, dijital soruşturmalarda önemlidir çünkü asıl kanıtın orijinal formda korunması, mahkemede delil olarak kabul edilebilmesi için gereklidir. Bu gereklilik, dijital forensik ve diğer soruşturma türleri arasındaki farkın büyük bir kısmını tanımlar. Orijinal cihaz kullanılamaz veya üzerinde oynanamaz; aksi takdirde bu, mahkemede kullanılamaz hale getirir.
Analiz (Analysis),dijital bir adli soruşturmanın aşamasıdır ve adli bilimci (veya soruşturmacı), verinin parçalarını yeniden oluşturur ve suç sırasında (veya incelenen konuda) ne olduğuna dair bütüncül bir hikaye oluşturur. Adli uzmanlar öncelikle delillere, deneyime ve uzmanlıklarına dayanır. Sıkça birden fazla çaba ve inceleme gerektirebilir, böylece yaşanan suça dair tatmin edici bir teoriye ulaşılabilir.
Belgeleme (Documentation), Belgelenme, mahkemede (veya diğer bir çözüm yeri olan yerde) sunulacak verilerin kaydedilmesini içerir. Bu, olayların yeniden anlatıldığı, teoriyi destekleyen delillerle ilişkilendirilmiş bir anlatımdır ve suçluluğu veya masumiyeti belirleyen dış bir tarafı ikna etmelidir.
Sunum (Presentation) dijital adli sürecin son aşamasıdır. Soruşturmacı, belgeleri kullanarak olay hakkında çıkardığı sonuçları açıklar. Sonuçlar, bir mahkemede veya yazılı bir raporda sunulsa da, soruşturmacı, uzman sonuçlarını uzman olmayan bir kişinin anlayabileceği ve ayrıntılar ve sunulan delillere dayanarak kendileri tarafından değerlendirilebilecek bir anlatıya dönüştürmelidir.