在保证以上几项基本原则的情况下，计算机取证工作一般按照下面步骤进行：

　　第一， 在取证检查中，保护目标计算机系统，避免发生任何的改变、伤害、数据破坏或病毒感染;

　　第二， 搜索目标系统中的所有文件。包括现存的正常文件，已经被删除但仍存在于磁盘上(即还没有被新文件覆盖)的文件，隐藏文件，受到密码保护的文件和加密文件;

　　第三， 全部(或尽可能)恢复发现的已删除文件;

　　第四， 最大程度地显示操作系统或应用程序使用的隐藏文件、临时文件和交换文件的内容;

　　第五， 如果可能并且如果法律允许，访问被保护或加密文件的内容;

　　第六，分析在磁盘的特殊区域中发现的所有相关数据。特殊区域至少包括下面两类：①所谓的未分配磁盘空间——虽然目前没有被使用，但可能包含有先前的数据残留;② 文件中的“slack”空间——如果文件的长度不是簇长度的整数倍，那么分配给文件的最后一簇中，会有未被当前文件使用的剩余空间，其中可能包含了先前文件遗留下来的信息，可能是有用的证据;

　　第七，打印对目标计算机系统的全面分析结果，然后给出分析结论：系统的整体情况，发现的文件结构、数据、和作者的信息，对信息的任何隐藏、删除、保护、加密企图，以及在调查中发现的其它的相关信息;

　　第八，给出必需的专家证明。

　　上面提到的计算机取证原则及步骤都是基于一种静态的视点，即事件发生后对目标系统的静态分析。随着计算机犯罪技术手段的提高，这种静态的视点已经无法满足要求，发展趋势是将计算机取证结合到入侵检测等网络安全工具和网络体系结构中，进行动态取证。整个取证过程将更加系统并具有智能性，也将更加灵活多样。