Dowody komputerowe to dane, które są zbierane z dysku twardego komputerowego i wykorzystywane w procesie dochodzenia w sprawie przestępstwa.Ponieważ stosunkowo łatwo jest uszkodzić dane przechowywane na dysku twardym, eksperci kryminalistyczne zajmują się zabezpieczeniem i ochroną komputerów, które są zajęte w ramach procesu śledczego.Wyodrębnienie danych musi odbywać się w wysoce kontrolowanych okolicznościach i muszą być dokonane przez profesjonalistów organów ścigania, którzy są specjalnie przeszkoleni w tym procesie.

Nie jest niczym niezwykłym, że komputery są gromadzone za każdym razem, gdy znajdują się na miejscu zbrodni.Na przykład, gdy jednostka zostanie zamordowana w swoim domu, istnieje duża szansa, że każde laptop lub komputery stacjonarne zostaną skonfiskowane.W podobny sposób, jeśli dana osoba zostanie aresztowana pod zarzutem pewnego rodzaju oszustwa lub defraudizacji, jego komputery osobiste i robocze prawdopodobnie zostaną zebrane do analizy przez ekspertów.

Proces szukania dowodów komputerowych rozpoczyna się od dokładnego przeglądu wszystkich plików znalezionych na dysku twardym.Aby to osiągnąć, dysk twardy jest starannie sprawdzany pod kątem ukrytych lub zabezpieczonych plików, które mogą nie być łatwo widoczne.Ponieważ dyski twarde zapisują kopie plików usuwanych z publicznych katalogów, eksperci zaangażowani w dochodzenie kryminalistyczne będą starać się zlokalizować i wyodrębnić usunięte pliki.Jest to ważne, ponieważ istnieje szansa, że zawierają dane, które mogłyby potwierdzić poczucie winy lub prawdopodobnie dostarczyć dowodu, że osoby aresztowane nie były zaangażowane w Komisję przestępstwa.

Wiele różnych rodzajów plików może dostarczyć dowodów komputerowych, które mogą pomóc w rozwiązaniu przestępstwa.Wizualne obrazy, e -maile, arkusze kalkulacyjne i inne popularne typy plików mogą być szyfrowane i ukryte w różnych buforach na dysku twardym.Eksperci wiedzą, jak znaleźć te ukryte buformy, uzyskać do nich dostęp i oglądać zawartość tych pamięci podręcznej.Wiele systemów operacyjnych automatycznie wykonuje tę funkcję, nawet gdy pliki są usunięte, tworząc kopie umieszczone w ukrytych buforach.Oznacza to, że nawet jeśli przestępca podjął kroki w celu wyczyszczenia obciążających dowodów z dysku twardego, istnieje duża szansa, że jedna lub więcej z tych ukrytych pamięci podręcznych jest pomijanych i może być wyodrębnione przez organy ścigania.

Zbieranie dowodów komputerowych jest wysoce wykwalifikowanym zadaniem, które jest zwykle przeprowadzane w określonych krokach.Po skonfiskowaniu komputera jest on transportowany na bezpieczną stronę.Tylko ograniczona liczba upoważnionych osób ma dostęp do systemu, podczas gdy jest on wydobywany do możliwych dowodów.Ponieważ wydobycie i ekstrakcja są prowadzone w tak surowych warunkach, praktycznie niemożliwe jest, aby dysk twardy mógł się zmodyfikować.Umożliwia to, że wszelkie zebrane dowody są przydatne w trwającym dochodzeniu.

Wykorzystanie dowodów komputerowych w sądzie zyskało większą akceptację w ostatnich latach.Obawy dotyczące manipulacji lub uszkodzenia dowodów w poprzednich latach czasami doprowadziły do ograniczeń, ile dowodów zebranych z komputerów może przynieść w danej sprawie.Ponieważ jednak organy ścigania poprawiły swoje metody zachowania i ochrony dysków twardych przed możliwym zanieczyszczeniem, więcej systemów prawnych na całym świecie postrzega dowody komputerowe jako w pełni dopuszczalne w sądzie.