對於電腦鑑識專家來說，必需要能夠瞭解嫌疑犯世故的程度，懂得對方在資訊專業方面的認知多寡，如果不清楚嫌疑犯的程度時，先將對方視為專家，並假設對方已經為有電腦鑑識之可能，做好事前準備。

待鑑識的已開機設備是否要關機以方便運送，或是保持開機狀態以避免變更原始資料，如同一把兩面刃的刀一樣，各有優劣。沒有關機的電腦，是不方便運送的，此外還有嫌疑犯啟動程式以銷毀重要資料的問題；但另一方面，關閉電腦後，諸如記憶體內部可能存有的重要密碼等易消失的資料，隨著關機便灰飛煙滅，其中的取決是一門臨場判斷的學問。

網際網路監聽（通信監察）技術介紹

1. 封包補捉（Sniffer 有線、無線、加密）
2. 封包分類
3. 封包重組
4. 資料儲存

電腦鑑識與傳統鑑識間，存在有許多差異點。巨觀來看，傳統鑑識著眼於鑑定與個化。兩者的鑑識過程中，均在於將犯罪現場的各個項目與物質，分析後再予以分類，甚至鑑識出其原由（如紅色的汁液，可能被分類為血或果汁等，甚至找出所有人。）。相對於傳統鑑識，電腦鑑識會著重於找出物證，並予以分析，這樣的過程相較於傳統鑑識來說類似犯罪現場調查。

封包擷取方法 – 數據包分析器（英語：Sniffer）。

乙太網路中是基於廣播方式傳送資料的，也就是說，所有的實體信號都要經過我的機器，可以將網卡設定為混雜模式（英語：promiscuous），在這種模式下工作的網卡能夠接收到一切通過它的資料，而不管實際上資料的目的地址是不是他。這實際上就是我們 Sniffer 工作的基本原理讓網卡接收一切他所能接收的資料。

很多人會把「資訊鑑識」與「電腦鑑識」混為一談，其實是兩種不同的東西。電腦鑑識的概念源自電腦 / 網絡保安與及刑事偵查，主要是用作調查電腦犯罪時，尋找相關證據或是用來證明損害的證據。由於資訊科技發達，虛擬世界裡的電子紀錄很容易便可遭修改。電腦鑑識也用來建立證物保護方式，確保鑑識前後的電子證據沒有遭竄改，令經鑑識分析後的證據更可信及具有法律地位。

• 蜜罐 (電腦科學)

4. Xiaoyun Wang and Hongbo Yu. (PDF). EUROCRYPT 2005. [2008-02-18]. （原始内容 (PDF)存档于2007-09-27）. 

• Digital Data Acquisition Tool Specification （页面存档备份，存于互联网档案馆） (PDF)
• Computer Forensics World Forum （页面存档备份，存于互联网档案馆）
• Original Computer Forensics Wiki （页面存档备份，存于互联网档案馆）
• Electronic Evidence Information Center （页面存档备份，存于互联网档案馆）
• Forensic Focus （页面存档备份，存于互联网档案馆）
• Digital Forensic Research Workshop (DFRWS) （页面存档备份，存于互联网档案馆）
• Challenges of Computer Forensics and Network Forensics （页面存档备份，存于互联网档案馆）

相關文獻期刊 编辑

• Journal of Digital Investigation （页面存档备份，存于互联网档案馆）
• （[//web.archive.org/web/20080830052539/http://www.elsevier.com/locate/diin （[//web.archive.org/web/20080830052539/http://www.elsevier.com/locate/diin 页面存档备份，存于互联网档案馆） 页面存档备份]，存于互联网档案馆） International Journal of Digital Evidence] （页面存档备份，存于互联网档案馆）
• http://www.elsevier.com/locate/diin（页面存档备份，存于互联网档案馆） International Journal of Forensic Computer Science]
• http://www.elsevier.com/locate/diin Journal of Digital Forensic Practice]
• http://www.elsevier.com/locate/diin （页面存档备份，存于互联网档案馆） （页面存档备份，存于互联网档案馆） Cryptologia]