1. No apagar ni encender la computadora, no ejecutar ningún programa ni intentar acceder hacia los datos residentes en la computadora. Un profesional forense experto tendrá las herramientas y la experiencia apropiada para evitar la sobrescritura de datos, daños por electricidad estática, u otras consideraciones.

2. Proteger cualquier medio relevante (incluyendo discos duros, computadoras portátiles, teléfonos inteligentes, DVDs, unidades USB, entre otros dispositivos), los cuales el sospechoso haya utilizado.

3. Suspender las políticas para destrucción y reciclado automático de documentos, los cuales puedan corresponder a cualquier medio o usuario relevante al momento de su emisión.

4. Identificar el tipo de datos buscados, la información buscada y el nivel de urgencia del análisis.

5. Una vez la máquina esté asegurada, obtener información sobre esta, sus periféricos, y la red hacia la cual está conectada.

6. De ser factible obtener contraseñas para acceder hacia archivos encriptados o protegidos con contraseña.

7. Compilar una lista de nombres, direcciones de correo electrónico, y cualquier otra información de identificación sobre aquellos con quienes el sospechoso podría haberse comunicado.

8. Si se accede hacia la computadora antes del profesional forense pueda obtener una imagen espejo, tener en consideración la cuenta del usuario(s) quienes la accedieron, hacia cuales archivos accedió, y cuando se produjo el acceso. Si es posible averiguar el motivo del acceso hacia la computadora.

9. Mantener una cadena de custodia para cada elemento de medio original, indicando donde estuvo el medio, en posesión de quien ha estado, y el motivo de esta posesión.

10. Crear una lista de palabras o frases clave a ser utilizada para buscar datos relevantes.

Fuentes:

https://github.com/forensicswiki/wiki