Početni i preliminarni koraci vještaka pri analizi digitalnih dokaza ponekad se mogu pokazati odlučujućim za dalji tijek vještačenja. Ukoliko se na samom početku počine greške ili previdi, moguće je da vještak informatike neće moći dati adekvatne odgovore na postavljena pitanja, odnosno zadatak i predmet vještačenja, ili će pak ono biti nepotpuno.

Računala, mediji i računalne mreže, odnosno njihovi elementi mogu biti alati kojima je počinjeno neko kazneno djelo, mogu biti rezultat kaznenog djela ili mogu biti u širem smislu izvan izvršenja kaznenog djela, ali istovremeno sadržavati dokaze o njemu. Takvi dokazi mogu biti u fizičkom obliku u formi disketa, optičkih medija,elektroničkih čipova, pa sve do prijenosnih ili stolnih računala, mobilnih telefona i serverskih sustava. S druge strane, dokazi koji se u njima nalaze mogu se vrlo lako promijeniti li uništiti.

Uloga fizičkog medija (transportera) podataka i dokaza u nekom kaznenom djelu može se pobliže objasniti postavljajući sljedeća pitanja i analizirajući odgovore na njih:

1. Da li je računalna oprema korištena za počinjenje kaznenog djela ili proizlazi iz njega?
npr. Da li je računalo ukradeno?

2. Da li je računalni sistem alat kojim je počinjeno djelo?
npr. Da li je računalni sistem aktivno korišten od strane osumnjičene stranke kako bi se počinilo djelo?

3. Da li je računalni sistem samo periferno korišteno u počinjenju djela?
npr. Da li se računalni sistem koristio samo za pohranu podataka od strane osumnjičenka?

4. Da li je računalni sistem aktivno i perfiremno korišten u počinjenu djela?
npr. Da li je računalni prijestupnik koristio računalo kako bi neovlašteno dobio pristup drugim sistemima i istovremeno na njemu pohranjivao podatke o korisničkim imenima, lozinkama i kreditnim karticama?

Kada je postavljanjem ovih fundamentalnih pitanja utvrđena uloga računalnog sustava,  potrebno je odgovoriti na sljedeća pitanja.

1. Postoji li razlog za analizu zatečene računalna oprema?
2. Postoji li razlog za analizu zatečene programske podrške instalirane na opremi?
3. Postoji li razlog za analizu podataka sadržanih na računalnom sustavu?
4. Gdje će se izvršiti ovakva analiza?
5. Ovisno o odgovoru na prethodno pitanje, potrebno je ustanoviti lanac nadzora nad izdvojenim (potencijalnim) dokazima.
6. Kako će vještak odnosno forenzičar vršiti analizu u skladu s ciljevima efikasnosti i pravovremenosti, a s obzirom na opseg izuzetog potencijalnog dokaznog materijala?

Navedena metodologija preliminarne analize potencijalnih digitalnih dokaza koristi se i od strane američkih tajnih službi.