Istnieje wiele różnych narzędzi do informatyki śledczej od różnych twórców oprogramowania, chociaż większość z nich została zaprojektowana jako pojedyncze aplikacje lub większe zestawy narzędzi. Wiele z tych programów zostało zaprojektowanych, aby umożliwić specjalistom medycyny sądowej przeglądanie i zapisywanie informacji z jednego urządzenia pamięci masowej na drugie, w tym obrazów dysków, które tworzą „obraz” dysku twardego. Istnieją również programy, za pomocą których można odzyskać dane, które zostały usunięte z dysku lub wyświetlić metadane w formacie lub pliku multimedialnym. Chociaż wiele z tych narzędzi do informatyki śledczej jest dostępnych osobno, stworzono również zestawy narzędzi, które łączą wiele narzędzi w jednej aplikacji.
Jednym z najpopularniejszych i najbardziej użytecznych narzędzi komputerowych do kryminalistyki jest program często określany jako imager dysku. Ten program może służyć do tworzenia „obrazu” dysku, w tym przenośnych urządzeń multimedialnych i dysków twardych. Obraz jest w rzeczywistości kopią wszystkich informacji przechowywanych na dysku, co pozwala analitykowi komputerowemu na utworzenie kopii dysku do dalszych badań. Te narzędzia informatyki śledczej są niezbędne w dochodzeniach kryminalnych, umożliwiając pracę na kopii dysku bez narażania oryginalnego dysku i znajdujących się na nim danych.
Istnieje również wiele narzędzi do informatyki śledczej, które zapewniają analitykom narzędzia do odzyskiwania i przeglądania różnych typów danych. Programy te mogą obejmować menedżerów i przeglądarki partycji, które umożliwiają pracownikom śledczym przeglądanie plików lub partycji, które mogą być ukryte na komputerze, a także oprogramowanie, którego można użyć do odzyskania plików, które zostały usunięte z komputera. Usunięte pliki często pozostawiają fragmenty danych, których można użyć do potencjalnego odtworzenia oryginalnego pliku lub przynajmniej wyświetlenia części pliku.
Można również opracować narzędzia informatyki śledczej, które pomogą użytkownikom znajdować i analizować metadane na dysku lub powiązane z plikiem. Tego typu danych można użyć do określenia, gdzie dysk był używany na komputerze lub do znalezienia pliku, który mógł zostać zmieniony lub udostępniony w przeszłości. Te narzędzia informatyki śledczej są często dostarczane przez producentów oprogramowania jako indywidualne narzędzia, chociaż mogą być również dostępne w pakiecie lub zestawie narzędzi. Takie programy i zestawy narzędzi mogą być dość drogie, ponieważ są często opracowywane na potrzeby organów ścigania lub użytku korporacyjnego, a zestawy narzędzi mogą w rzeczywistości zapewniać te narzędzia po niższej ogólnej cenie do użytku przez specjalistów medycyny sądowej.