计算机取证收集和处理计算机上的所有证据，不光是硬盘里的数据，也包括了CD， DVD。人们可能没有认识到他们在计算机所做的一切，例如浏览网页，使用即时通等都会在计算机上留下线索。在美国计算机取证通常被用在对儿童色情犯罪，电子欺诈，企业欺诈，恐怖活动的调查中。

证据恢复包括三个阶段：证据获取，证据分析，和证据报告。必须用正确的方法进行这些步骤，否则证据会不被法庭接受。

证据获取涉及从涉案计算机的存储媒介上（例如软盘，USB存储器，硬盘等）将数据传输到用做检查的计算机上。调查员必须保证原有媒介没有遭到改动，与复制数据和原有数据的一致性。

获取数据以后，调查员需要分析文件，邮件等以寻找线索。一些软件可以用来恢复删除掉的邮件，对加密文件解密，在文件中搜寻关键字等。

计算机取证的主要原则有以下几点：首先，尽早搜集证据，并保证其没有受到任何破坏；其次，必须保证“证据连续性”（有时也被称为“chain of custody”），即在证据被正式提交给法庭时，必须能够说明在证据从最初的获取状态到在法庭上出现状态之间的任何变化，当然最好是没有任何变化；最后，整个检查、取证过程必须是受到监督的，也就是说，由原告委派的专家所作的所有调查取证工作，都应该受到由其它方委派的专家的监督。

在保证以上几项基本原则的情况下，计算机取证工作一般按照下面步骤进行：

第一， 在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染；

第二， 搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上（即还没有被新文件覆盖）的文件，隐藏文件，受到密码保护的文件和加密文件；

第三， 全部（或尽可能）恢复发现的已删除文件；

第四， 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容；

第五， 如果可能并且如果法律允许，访问被保护或加密文件的内容；

第六， 分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：

①所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含先前的数据残留；

②文件中的“slack”空间——如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据；

第七，打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息；

第八，给出必需的专家证明。