分析的第一步

對數字媒體進行分析需要一種找出證據的本能，以及使用你的直覺來連線各個點。在數字取證領域，分析可以採取兩種形式

證據恢復

分析師識別與調查相關的的資訊，並以中立的形式呈現。

專家分析

繼證據恢復之後，分析師從資訊中得出專家結論（可能構建事件時間線）或將各種證據連線在一起。

專家分析可以從簡單的事實結論到對已恢復證據的更具推測性的評估，差異很大。在刑事案件中，後者通常在分析師級別避免。相比之下，在民事/公司調查中，後者更為常見，這是因為管理人員通常沒有執法人員可能擁有的技術理解來得出結論。

在進行調查時，重要的是要記住誰將接收你收集的證據，並進行滿足其要求和需求的分析。本節將涵蓋一些關於組織數字媒體分析的基本概念，以及一些基本的概念和術語，你需要對計算機如何將資料儲存在硬碟驅動器上有一個工作理解。

任何數字調查的目標通常是證明或反駁一個假設（或者你可能會被要求進行一項“釣魚練習”，以尋找有用的情報，也許是為了識別已知罪犯的同夥）。在你開始工作之前，最好寫下並確認這些目標，並定義任何分析的範圍。定義範圍對於以下幾個原因很重要

成本

數字取證通常是一個昂貴的過程（在資源和人員成本方面），在不相關的搜尋上花費時間可能是浪費金錢。

時間

與成本密切相關，此外，許多調查都有管理層或（在刑事案件中）法庭強加的時間限制。

簡潔的證據

如果沒有重點，分析可能會導致大量與主題相關的無關資訊，使結論難以得出。

確保重點分析的一種方法是仔細列出調查的目標（即你想要證明什麼），然後列出可能包含相關資訊的證據型別。例如，在調查計算機駭客攻擊時，深入的圖形影像分析可能不如搜尋聊天記錄有用。^{[註釋 1]}

雖然定義範圍很重要，但取證調查的性質意味著它並不總是嚴格遵循。例如，可能決定聊天記錄不太可能相關，但隨後其他證據表明它們可能包含有用的資料。定義範圍的好處是，它為檢查人員提供了一個開始調查的地方。

一旦檢查員知道所需的證據型別，下一步（相當明顯）就是從獲取的媒體中提取它。

搜尋

恢復已刪除的資料是取證分析師執行的基本活動之一。為了理解為什麼已刪除的資料可以恢復，我們需要了解計算機如何儲存資訊的一些背景知識。

顯然，硬碟驅動器是儲存介質，資料被簡化為 1 和 0 的流，或稱為位。8 位構成一個位元組的資料，在一個典型的硬碟驅動器上，一組 512 或 4096 位元組被儲存為一個扇區。扇區構成了硬碟驅動器上資料儲存的基本單位，但檔案系統考慮了稱為簇的一組扇區。