分析的第一步

对数字媒体进行分析需要一种找出证据的本能，以及使用你的直觉来连接各个点。在数字取证领域，分析可以采取两种形式

证据恢复

分析师识别与调查相关的的信息，并以中立的形式呈现。

专家分析

继证据恢复之后，分析师从信息中得出专家结论（可能构建事件时间线）或将各种证据连接在一起。

专家分析可以从简单的事实结论到对已恢复证据的更具推测性的评估，差异很大。在刑事案件中，后者通常在分析师级别避免。相比之下，在民事/公司调查中，后者更为常见，这是因为管理人员通常没有执法人员可能拥有的技术理解来得出结论。

在进行调查时，重要的是要记住谁将接收你收集的证据，并进行满足其要求和需求的分析。本节将涵盖一些关于组织数字媒体分析的基本概念，以及一些基本的概念和术语，你需要对计算机如何将数据存储在硬盘驱动器上有一个工作理解。

任何数字调查的目标通常是证明或反驳一个假设（或者你可能会被要求进行一项“钓鱼练习”，以寻找有用的情报，也许是为了识别已知罪犯的同伙）。在你开始工作之前，最好写下并确认这些目标，并定义任何分析的范围。定义范围对于以下几个原因很重要

成本

数字取证通常是一个昂贵的过程（在资源和人员成本方面），在不相关的搜索上花费时间可能是浪费金钱。

时间

与成本密切相关，此外，许多调查都有管理层或（在刑事案件中）法庭强加的时间限制。

简洁的证据

如果没有重点，分析可能会导致大量与主题相关的无关信息，使结论难以得出。

确保重点分析的一种方法是仔细列出调查的目标（即你想要证明什么），然后列出可能包含相关信息的证据类型。例如，在调查计算机黑客攻击时，深入的图形图像分析可能不如搜索聊天记录有用。^{[注释 1]}

虽然定义范围很重要，但取证调查的性质意味着它并不总是严格遵循。例如，可能决定聊天记录不太可能相关，但随后其他证据表明它们可能包含有用的数据。定义范围的好处是，它为检查人员提供了一个开始调查的地方。

一旦检查员知道所需的证据类型，下一步（相当明显）就是从获取的媒体中提取它。

搜索

恢复已删除的数据是取证分析师执行的基本活动之一。为了理解为什么已删除的数据可以恢复，我们需要了解计算机如何存储信息的一些背景知识。

显然，硬盘驱动器是存储介质，数据被简化为 1 和 0 的流，或称为位。8 位构成一个字节的数据，在一个典型的硬盘驱动器上，一组 512 或 4096 字节被存储为一个扇区。扇区构成了硬盘驱动器上数据存储的基本单位，但文件系统考虑了称为簇的一组扇区。