Les preuves informatiques sont des données récoltées à partir d'un disque dur informatique et utilisées dans le processus d'une enquête criminelle.Parce qu'il est relativement facile de corrompre les données stockées sur un disque dur, les experts en médecine légale se mettent en longueur pour sécuriser et protéger les ordinateurs qui sont saisis dans le cadre du processus d'investigation.L'extraction des données doit avoir lieu dans des circonstances hautement contrôlées et doit être accomplie par des professionnels de l'application des lois spécifiquement formés dans le processus.

Il n'est pas rare que les ordinateurs soient collectés chaque fois qu'ils sont trouvés sur une scène de crime.Par exemple, lorsqu'un individu est retrouvé assassiné chez lui, il y a de fortes chances que tout ordinateur portable ou ordinateur de bureau trouvé sur les lieux soit confisqué.De la même manière, si un individu est arrêté pour suspicion de certains types de fraude ou de détournement, ses ordinateurs personnels et de travail sont susceptibles d'être collectés pour analyse par des experts.

Le processus de recherche de preuves informatiques commence par un examen approfondi de tous les fichiers trouvés sur le disque dur.Pour ce faire, le disque dur est soigneusement examiné pour tout fichier caché ou sécurisé qui peut ne pas être facilement apparent.Étant donné que les disques durs économisent des copies de fichiers qui sont supprimés des répertoires publics, les experts impliqués dans l'enquête médico-légale cherchent à localiser et à extraire des fichiers qui ont été supprimés.Ceci est important, car il y a une chance qu'ils incluent des données qui pourraient confirmer la culpabilité, ou éventuellement fournir la preuve que la personne arrêtée n'a pas été impliquée dans la commission du crime.

De nombreux types de fichiers différents peuvent fournir des preuves informatiques qui peuvent aider à résoudre un crime.Les images visuelles, les e-mails, les feuilles de calcul et autres types de fichiers courants peuvent être cryptés et cachés dans divers caches sur le disque dur.Les experts savent comment trouver ces caches cachées, y accéder et consulter le contenu de ces caches.De nombreux systèmes d'exploitation remplissent automatiquement cette fonction même lorsque les fichiers sont supprimés, créant des copies placées dans les caches cachées.Cela signifie que même si le criminel a pris des mesures pour effacer les preuves incriminantes du disque dur, il y a de fortes chances qu'un ou plusieurs de ces caches cachés soient négligés et peuvent être extraits par les forces de l'ordre.

La collecte de preuves informatiques est une tâche hautement qualifiée qui est généralement effectuée à des étapes spécifiques.Une fois l'ordinateur confisqué, il est transporté vers un site sécurisé.Seul un nombre limité de personnes autorisées ont accès au système pendant qu'elle est exploitée pour des preuves possibles.Étant donné que l'extraction et l'extraction sont réalisées dans des conditions aussi strictes, il est pratiquement impossible que le disque dur soit falsifié.Cela permet à toute preuve collectée d'être utile dans l'enquête en cours.

L'utilisation de preuves informatiques devant les tribunaux a gagné plus d'acceptation ces dernières années.Les préoccupations concernant la falsification ou les dommages aux preuves au cours des années passées ont parfois conduit à des restrictions sur la quantité de preuves collectées sur les ordinateurs pourraient supporter sur un cas donné.Cependant, comme les forces de l'ordre ont amélioré ses méthodes de préservation et de protection des disques durs contre une éventuelle contamination, davantage de systèmes juridiques dans le monde consultent les preuves informatiques comme pleinement admissibles par un tribunal.