En examinator för datorforensik fungerar vanligtvis som en del av en brottsbekämpande myndighet eller polisorganisation i analys och tolkning av datadata för utredning av ett brott.De specifika uppgifterna som utförs av denna typ av kriminaltekniker involverar vanligtvis datordata och kan inkludera allt från analys av metadata på ett e-postmeddelande till avbildning och analys av en datorhårddisk.Andra vanliga uppgifter inkluderar återskapande av borttagna datorfiler och användning av olika program för att utvärdera datorbevis och dokumentera korrekt processen för användning i domstol.En examinator för datorforensik kommer också ofta att ge vittnesmål i domstol om datorbevis som hittades och användes under en utredning.

Mycket av det arbete som gjorts av en datorforensikundersökare äger rum under en kriminell utredning eller civil upptäcktsprocess.För kriminella utredningar innebär detta arbete vanligtvis undersökning och analys av hårdvara, programvara och datorfiler för att ge bevis om en misstänkt eller bygga ett fall för en misstänkt skuld eller oskyldighet.I Civil Discovery används ofta arbetet som utförs av en datorforensisk examinator för att avgöra om någon ljuger eller felaktigt föreställer fakta i ett fall.

Oavsett vilken typ av fall som arbetas med, kommer en datorforensikundersökning vanligtvis att undersöka stora mängderav datordata.Detta kan inkludera datorhårdvara, till exempel hårddiskar eller skivor, och datafiler, till exempel e-postmeddelanden och dokument på en dator.Med hjälp av specialiserad mjukvara och en mängd olika tekniker kan en datorforensikundersökare återskapa raderade filer på ett system, bestämma var ett e-postmeddelande kan ha skickats från och läst krypterade filer.Under slutet av 1900- och början av 21 -talet ledde arbetet som gjordes av Computer Forensics Examiners till arresteringar i många fall, inklusive den ökända "BTK" -mordaren som fångades 2005 på grund av metadata på en diskett som han skickade till polisen som indikerade hans förstaNamn och en plats där skivan hade använts.

En examinator för datorforensik kommer också vanligtvis att arbeta efter en utredning för att ge domstolens vittnesmål och expertutlåtanden om ett ärende.När granskaren arbetar med en utredning kommer han eller hon att dokumentera varje steg och det arbete som utförs för att uppfylla de bevis som kommer att införas i ett rättsfall.När detta är klart kan han eller hon behöva presentera arbetet och försvara det mot korsutredning av en advokat.En examinator för datorforensik måste också vanligtvis förklara de metoder som används för att hitta bevis på ett sätt som domare och jurymedlemmar effektivt kan förstå.