Egzaminator informatyki śledczej zazwyczaj pracuje w ramach organów ścigania lub organizacji policyjnej w zakresie analizy i interpretacji danych komputerowych w celu przeprowadzenia dochodzenia w sprawie przestępstwa. Konkretne zadania wykonywane przez tego typu eksperta kryminalistycznego zwykle obejmują dane komputerowe i mogą obejmować wszystko, od analizy metadanych w wiadomości e-mail po obrazowanie i analizę dysku twardego komputera. Inne typowe zadania obejmują ponowne tworzenie usuniętych plików komputerowych i używanie różnych programów komputerowych do oceny dowodów komputerowych i właściwego dokumentowania procesu do wykorzystania w sądzie. Ekspert kryminalistyki komputerowej często składa również zeznania w sądzie dotyczące dowodów komputerowych, które zostały znalezione i wykorzystane podczas dochodzenia.
Duża część pracy wykonywanej przez informatyków śledczych ma miejsce podczas dochodzenia karnego lub procesu cywilnego. W przypadku dochodzeń kryminalnych praca ta zwykle obejmuje badanie i analizę sprzętu, oprogramowania i plików komputerowych w celu dostarczenia dowodów dotyczących podejrzanego lub zbudowania sprawy o winę lub niewinność podejrzanego. W odkryciu cywilnym praca wykonana przez komputerowego eksperta kryminalistycznego jest często wykorzystywana do ustalenia, czy ktoś kłamie lub przeinacza fakty w sprawie.
Bez względu na rodzaj sprawy, nad którą pracuje, informatyk śledczy zazwyczaj bada duże ilości danych komputerowych. Może to obejmować sprzęt komputerowy, taki jak dyski twarde lub dyski, oraz pliki danych, takie jak wiadomości e-mail i dokumenty na komputerze. Korzystając ze specjalistycznego oprogramowania i różnych technik, śledczy komputerowy może odtworzyć usunięte pliki w systemie, określić, skąd mogła zostać wysłana wiadomość e-mail, i odczytać zaszyfrowane pliki. Na przełomie XX i XXI wieku praca wykonywana przez informatyków śledczych doprowadziła do wielu aresztowań, w tym niesławnego zabójcy „BTK”, który został złapany w 20 roku z powodu metadanych na dyskietce, którą wysłał na policję, która wskazywała na jego pierwszy nazwę i lokalizację, w której dysk był używany.
Egzaminator informatyki śledczej będzie również zwykle pracował po dochodzeniu, aby przedstawić zeznania sądowe i opinie biegłych w sprawie. Pracując nad śledztwem, egzaminator dokumentuje każdy krok i wykonaną pracę, aby spełnić standardy dowodowe, które zostaną wprowadzone w sprawie sądowej. Po zakończeniu może być konieczne przedstawienie pracy i obrona jej przed krzyżowym przesłuchaniem przez adwokata. Egzaminator informatyki śledczej będzie również zazwyczaj musiał wyjaśnić metody stosowane w celu znalezienia dowodów w sposób, który sędziowie i członkowie ławy przysięgłych mogą skutecznie zrozumieć.