ปัจจุบันการละเมิดระบบรักษาความปลอดภัยทางคอมพิวเตอร์และเครือข่ายเกิดขึ้นบ่อยครั้งแม้มี มาตรการป้องกันเป็นอย่างดี ทั้งที่เกิดจากความตั้งใจและไม่ตั้งใจ ทั้งจากตัวผู้ใช้เองและบุคคลที่มาบุกรุกหรือ แอบใช้งานผ่านช่องทางต่างๆ ซึ่งเมื่อเกิดเหตุขึ้นนอกจากการตอบสนองการละเมิดความปลอดภัยด้วยการระงับ เหตุให้ได้ทันท่วงทีแล้ว ยังควรมีการสืบค้นเพื่อตามเก็บหลักฐานเพื่อศึกษาย้อนรอย หรือดำเนินการทางกฎหมาย กับผู้ละเมิด ทั้งนี้ต้องเป็นไปตามแนวทาง พรบ.ว่าด้วยการกระทำความผิดเกี่ยวกับคอมพิวเตอร์ พ.ศ. 2550 และ กฎระเบียบที่เกี่ยวข้อง การค้นหาและเก็บหลักฐานทางดิจิตอลที่อยู่ในอุปกรณ์คอมพิวเตอร์ หลักฐานทั้งหมดนี้จะถูกนำมา วิเคราะห์ว่า เกิดขึ้นเมื่อไหร่ จากอะไร ขณะใช้งานทำอะไรกับข้อมูลอยู่และถูกใช้โดยใคร โดยทำการเก็บ หลักฐานมาพิจจารณาและส่งทำการวิเคราะห์เพื่อนำเสนอหลักฐานในชั้นศาล หลักฐานที่เป็นดิจิตอลนี้มีความ ละเอียดอ่อนมาก เนื่องจากสามารถถูกทำลายหรือได้รับความเสียหายจากการไม่ระมัดระวังได้ อีกทั้งยังสามารถ ที่จะซ่อนแก้ไขหรือเปลี่ยนแปลงข้อมูล เพื่อทำให้หลักฐานนั้นมีการบิดเบือนไปต่างจากหลักฐานที่เป็นอยู่เดิมได้ ดังนั้นเพื่อเป็นการป้องกันหากเกิดการละเมิดความปลอดภัยขึ้น จึงต้องมีการที่สืบค้นหลักฐานโดยใช้ ความสามารถในการคัดลอก (Cloning) กู้คืน (Undelete & Unformat) และแกะรหัสผ่าน (Zip/Rar Password Cracking) เพื่อนำข้อมูลจากสื่อต่างๆ เช่น ฮาร์ดดิสก์ แฟลชเมโมรีต่างๆ โดยเน้นไปในลักษณะของการทำงาน แบบออฟไลน์กับเครื่องหรือสื่อเป้าหมายที่ต้องการสืบค้น