Dochodzenia w sprawie przestępstw komputerowych mają na celu ustalenie charakteru przestępstwa i zebranie dowodów prowadzących do wydania wyroku skazującego. Po drodze śledczy mogą odkryć informacje, które mogą wykorzystać do przewidywania i zapobiegania przestępstwom o podobnym charakterze w przyszłości. Na przykład mogą zauważyć lukę w programie, która umożliwia włamania, i mogą skontaktować się z producentem, aby zalecić poprawkę, która naprawi problem. Szkolenie w zakresie technologii informatycznych jest niezbędne do tego rodzaju pracy, podobnie jak doświadczenie w gromadzeniu i przetwarzaniu dowodów w celu zmniejszenia ryzyka gromadzenia informacji, których nie można legalnie wykorzystać.
Proces rozpoczyna się, gdy ktoś dzwoni, aby zgłosić przestępstwo lub agencja monitorująca wykryje dowody przestępstwa. Zespoły dochodzeniowe muszą zabezpieczyć komputery, sieci i komponenty, które mogą być połączone z incydentem. Może to obejmować takie rzeczy, jak sieci finansowe powiązane z defraudacją w ramach oszustw lub sieci komputerowe ukierunkowane na złośliwe ataki hakerskie w celu ujawnienia i skompromitowania danych. Dochodzenia w sprawie przestępstw komputerowych mogą być trudne ze względu na efemeryczny charakter dowodów, co sprawia, że zabezpieczenie i kontrola komputerów przed rozpoczęciem dochodzenia mają kluczowe znaczenie.
Śledczy mogą sklonować system w celu zbadania go bez narażania oryginału. Dochodzenia w sprawie przestępstw komputerowych mogą obejmować szczegółowy audyt systemu komputerowego w poszukiwaniu złośliwego kodu, luk w zabezpieczeniach i innych problemów. Śledczy mogą szukać kompromitujących plików i programów, w tym materiałów, które ludzie próbowali usunąć, zmienić lub ukryć. Specyfika śledztwa zależy od rodzaju przestępstwa będącego przedmiotem śledztwa. Na przykład w przypadku włamań, dochodzenia w sprawie przestępstw komputerowych muszą odkryć dowody na to, że miały miejsce włamania, i muszą powiązać je ze źródłem.
Utrzymanie łańcucha dowodów w śledztwach dotyczących przestępstw komputerowych jest wyzwaniem. Śledczy muszą dokładnie dokumentować wszystko, co robią i mogą nagrywać na wideo, nagrywać naciśnięcia klawiszy i podejmować inne środki w celu śledzenia swoich działań. W przypadku zakwestionowania dowodów w sądzie, zespół musi być w stanie wykazać, że dowód jest oryginalny, bez zmian, które mogłyby podważyć jego ważność. Członkowie tej dziedziny stale modyfikują i aktualizują wytyczne dotyczące dowodów, aby nadążyć za dochodzeniami w sprawie przestępstw komputerowych i wyznaczać standardy, których powinni przestrzegać śledczy, niezależnie od tego, gdzie pracują.
Po całkowitym zebraniu i skatalogowaniu dowodów zespół może zdecydować o zatrzymaniu skonfiskowanego sprzętu do czasu, gdy sprawa trafi do sądu i zostanie wysłuchana. Gwarantuje to, że mają dostęp, jeśli będą go potrzebować podczas procesu. W przeciwnym razie komputery i inne urządzenia mogą zostać zwrócone ich właścicielom, co ostatecznie może zagrozić pozostałym dowodom.