Um dos princípios fundamentais da forense é o Princípio da Troca de Locard. De acordo com esse princípio, qualquer um, ou qualquer coisa, que entra em um local de crime leva consigo algo do local e deixa alguma coisa para trás quando parte. No mundo virtual dos computadores, o Princípio da Troca de Locard ainda é válido (ou pelo menos parte dele): onde quer que o intruso vá ele deixa rastros. Tais rastros podem ser extremamente difíceis ou praticamente impossíveis de serem identificados e seguidos, mas eles existem. Nesses casos, o processo de análise forense pode tornar-se extremamente complexo e demorado, necessitando do desenvolvimento de novas tecnologias para a procura de evidências.

Toda e qualquer informação digital capaz de determinar que houve uma intrusão ou que provenha alguma ligação entre o invasor e a vítima ou entre a invasão e o atacante, poderá ser considerada como uma evidência.

O investigador deve ser capaz de identificar as evidências através das informações previamente coletadas por ele.