Le prove del computer sono i dati raccolti da un disco rigido del computer e utilizzati nel processo di un'indagine sul crimine.Poiché è relativamente facile corrompere i dati memorizzati su un disco rigido, gli esperti forensi fanno di tutto per proteggere e proteggere i computer che vengono sequestrati come parte del processo investigativo.L'estrazione dei dati deve avvenire in circostanze altamente controllate e deve essere realizzato dai professionisti delle forze dell'ordine che sono specificamente formati nel processo.

Non è insolito che i computer vengano raccolti ogni volta che si trovano in una scena del crimine.Ad esempio, quando un individuo viene trovato assassinato nella sua casa, ci sono buone probabilità che qualsiasi computer portatile o desktop trovati sulla scena venga confiscato.Allo stesso modo, se un individuo viene arrestato con l'accusa di un qualche tipo di frode o appropriazione indebita, è probabile che i suoi computer personali e di lavoro vengano raccolti per l'analisi dagli esperti.

Il processo di ricerca di prove del computer inizia con una revisione approfondita di tutti i file trovati sul disco rigido.Per raggiungere questo obiettivo, il disco rigido è accuratamente schermato per eventuali file nascosti o protetti che potrebbero non essere facilmente evidenti.Poiché i dischi rigidi salvano copie di file che vengono eliminati dalle directory pubbliche, gli esperti coinvolti nell'indagine forense cercheranno di individuare ed estrarre i file che sono stati eliminati.Questo è importante, poiché esiste la possibilità che includano dati che potrebbero confermare la colpa o eventualmente fornire la prova che l'individuo arrestato non era coinvolto nella commissione del crimine.

Molti diversi tipi di file possono produrre prove del computer che possono aiutare a risolvere un crimine.Immagini visive, e -mail, fogli di calcolo e altri tipi comuni di file possono essere crittografati e nascosti in varie cache sul disco rigido.Gli esperti sanno come trovare queste cache nascoste, accederle e visualizzare il contenuto di tali cache.Molti sistemi operativi eseguono automaticamente questa funzione anche quando i file vengono eliminati, creando copie posizionate nelle cache nascoste.Ciò significa che anche se il criminale ha preso provvedimenti per cancellare le prove incriminanti dal disco rigido, ci sono buone probabilità che una o più di queste cache nascoste vengano trascurate e possono essere estratte dalle forze dell'ordine.

La raccolta di prove del computer è un compito altamente qualificato che di solito viene condotto in passaggi specifici.Una volta confiscato il computer, viene trasportato in un sito sicuro.Solo un numero limitato di persone autorizzate ha accesso al sistema mentre viene estratto per possibili prove.Poiché il mining e l'estrazione sono condotti in condizioni così rigorose, è praticamente impossibile che il disco rigido sia manomesso.Ciò consente a qualsiasi prova raccolta per essere utili nell'indagine in corso.

L'uso di prove informatiche in tribunale ha guadagnato maggiore accettazione negli ultimi anni.Le preoccupazioni per la manomissione o il danno alle prove negli anni passate a volte portavano a restrizioni su quante prove raccolte dai computer potessero sostenere un determinato caso.Tuttavia, poiché le forze dell'ordine hanno migliorato i suoi metodi per preservare e proteggere i dischi rigidi dalla possibile contaminazione, più sistemi legali in tutto il mondo stanno considerando le prove informatiche come pienamente ammissibili in un tribunale.