Tietokonetodisteet ovat tietoja, jotka kerätään tietokoneen kiintolevyltä ja hyödynnetään rikostutkinnan aikana. Koska kiintolevylle tallennettuja tietoja on suhteellisen helppo turmella, oikeuslääketieteen asiantuntijat pyrkivät kaikin tavoin turvaamaan ja suojaamaan tietokoneet, jotka on takavarikoitu osana tutkimusprosessia. Tietojen poiminnan on tapahduttava erittäin kontrolloiduissa olosuhteissa, ja sen on suoritettava lainvalvontaviranomaiset, jotka on erityisesti koulutettu prosessiin.
Ei ole epätavallista, että tietokoneita kerätään aina, kun ne löydetään rikospaikalta. Esimerkiksi kun henkilö löydetään murhatuksi kotonaan, on suuri mahdollisuus, että kaikki paikalta löydetyt kannettavat tietokoneet tai pöytätietokoneet takavarikoidaan. Samalla tavalla, jos henkilö pidätetään epäiltynä jonkinlaisesta petoksesta tai kavalluksesta, hänen henkilökohtaiset ja työtietokoneensa kerätään todennäköisesti asiantuntijoiden analysoitavaksi.
Tietokoneen todisteiden etsintäprosessi alkaa kaikkien kiintolevyllä olevien tiedostojen perusteellisella tarkastelulla. Tämän saavuttamiseksi kiintolevy tarkastetaan huolellisesti piilotettujen tai suojattujen tiedostojen varalta, jotka eivät ehkä näy helposti. Koska kiintolevyt tallentavat kopioita julkisista hakemistoista poistetuista tiedostoista, rikostekniseen tutkimukseen osallistuvat asiantuntijat pyrkivät paikantamaan ja purkamaan poistetut tiedostot. Tämä on tärkeää, koska on mahdollista, että ne sisältävät tietoja, jotka voivat vahvistaa syyllisyyden tai mahdollisesti todistaa, että pidätetty henkilö ei ollut osallisena rikoksen tekemiseen.
Monet erityyppiset tiedostot voivat tuottaa tietokoneella todisteita, jotka voivat auttaa rikoksen ratkaisemisessa. Visuaaliset kuvat, sähköpostit, laskentataulukot ja muut yleiset tiedostot voidaan salata ja piilottaa kiintolevyn eri välimuisteihin. Asiantuntijat tietävät, miten löytää nämä piilotetut välimuistit, käyttää niitä ja tarkastella näiden välimuistien sisältöä. Monet käyttöjärjestelmät suorittavat tämän toiminnon automaattisesti, vaikka tiedostoja poistetaan ja luodaan kopioita, jotka sijoitetaan piilotettuihin välimuisteihin. Tämä tarkoittaa sitä, että vaikka rikollinen olisi ryhtynyt toimiin pyyhkiäkseen syyttävät todisteet kiintolevyltä, on suuri mahdollisuus, että yksi tai useampi näistä piilotetuista välimuisteista jätetään huomiotta ja lainvalvonta voi purkaa ne.
Tietokoneen todisteiden kerääminen on erittäin taitava tehtävä, joka suoritetaan yleensä tietyissä vaiheissa. Kun tietokone on takavarikoitu, se siirretään suojattuun sivustoon. Vain rajallinen määrä valtuutettuja henkilöitä voi käyttää järjestelmää, kun sitä kaivataan mahdollisen todistusaineiston hankkimiseksi. Koska louhinta ja louhinta suoritetaan niin tiukoissa olosuhteissa, kiintolevyn muokkaaminen on käytännössä mahdotonta. Tämä mahdollistaa sen, että kaikki kerätyt todisteet ovat hyödyllisiä meneillään olevassa tutkimuksessa.
Tietokonetodistuksen käyttö tuomioistuimessa on saanut viime vuosina enemmän hyväksyntää. Huoli todisteiden väärentämisestä tai vahingoittamisesta viime vuosina johti toisinaan rajoituksiin siitä, kuinka paljon tietokoneelta kerättyä todistetta voitaisiin kerätä tietyssä tapauksessa. Kuitenkin, kun lainvalvonta on parantanut menetelmiään kiintolevyjen säilyttämiseksi ja suojaamiseksi mahdolliselta saastumiselta, yhä useammat oikeusjärjestelmät ympäri maailmaa pitävät tietokoneiden todisteita täysin hyväksyttävinä tuomioistuimessa.