디지털 증거조사는 운영체제, 네트워크와 시스템, 파일시스템등 전반적인 분야에서 범죄의 증거물 혹은 소송의 증거자료를 찾아내어 의뢰인에게 제공하는 포렌식서비스의 일종으로 증거분석과 같이 진행하는 경우가 많다.

디지털포렌식 진행과정인 수출, 분석 조사, 보고서 작성 등의 과정이 상호 밀접한 관련성이 있다.

의뢰인이 요청한 증거의 범위는 다양한데 특히 스마트폰에 저장된 범죄의 증거물인 사진, 채팅내용, 혹은 대화내용 등 다양한 형태의 증거물을 조사자는 찾아야 한다.

진행방법은 증거분석에서 이미지 파일(컴퓨터 하드디스크등 저장매체, 스마트 폰)을 추출하고 분석컴퓨터에서 증거분석 프로그램을 가동시켜 증거물을 검색하는 데 검색 결과물인 찾은 증거물은 포렌식 절차에 의해 해시값을 추출하고 별도 저장매체에(CD-R, DVD-R)에 저장하여 의뢰인에게 제공한다.

스마트폰의 경우 전문 도구를 활용하여 추출하고 분석하는데 안드로이드 계열과 아이폰 계열에 따라 사용하는 분석도구가 달라진다.

1. 데이터 분류

조사에 필요한 데이터를 선별함으로써 분석할 데이터의 양을 줄여, 효율적이고 신속한 분석을 가능하도록 함
분류된 결과를 검토하여 상세 분석 단계로 진행할지 결정

다양한 분류 방법이 존재하며, 분류된 결과는 서로 데이터가 중복될 수 있음

2. 일반적인 데이터 분류
시간 정보(timeframe: 타임프레임)에 따른 분류
위ㆍ변조 데이터 분류
응용 프로그램 파일 별 분류

소유자에 따른 분류

3. 시간에 따른 분류

사건이 발생한 시점이나 주변 시간대에서 컴퓨터의 사용 흔적을 조사 하여 사용자, 작업할 내용 등을 선별하여 조사하는데 유용
파일 시스템의 메타정보(마지막 수정 시간, 마지막 접근 시간, 생성 시간, 변경 상태 등)와 파일 내부에 저장된 시간과 날짜 정보를 검토

사건 발생 시간대에서 작업한 파일들의 리스트를 확인하고, 범죄 행위와 관련된 파일이 없는지 키워드 검색 등을 활용하여 분석

4. 응용프로그램 및 파일 유형에 따른 분류
사건과 관련된 정보를 효과적으로 검색하는데 도움을 줄 수 있음

파일 종류 별 통계 분석으로 사용자의 컴퓨터 사용 수준을 파악할 수 있으며 시스템의 주요 사용 목적을 추측할 수 있음

5. 클라우드 컴퓨터 계정조사

일반적으로 클라우드에 서진, 동영상등을 자동 저장해 두고 있는 경우가 많기 때문에 클라우드 저장매체에 대한 조사도 필수적으로 활용되고 있다.