Tietokonerikostutkimuksilla pyritään määrittämään rikoksen luonne ja keräämään todisteita tuomion antamiseksi. Matkan varrella tutkijat voivat paljastaa tietoja, joiden avulla he voivat ennustaa ja ehkäistä samankaltaisia rikoksia tulevaisuudessa. He voivat esimerkiksi huomata ohjelmassa olevan porsaanreiän, joka mahdollistaa tunkeutumisen, ja he voivat ottaa yhteyttä valmistajaan suositellakseen korjaustiedostoa korjaamaan ongelman. Tietotekniikan koulutus on välttämätöntä tällaiselle työlle, samoin kuin kokemus todisteiden keräämisestä ja käsittelystä, jotta voidaan vähentää riskiä kerätä tietoja, joita ei voida käyttää laillisesti.
Prosessi alkaa, kun joku soittaa ilmoittamaan rikoksesta tai jos valvontaelin havaitsee todisteita rikoksesta. Tutkintaryhmien on suojattava tietokoneet, verkot ja komponentit, jotka voivat olla yhteydessä tapahtumaan. Tämä voi sisältää esimerkiksi rahoitusverkkoja, jotka on kytketty petokseen, tai tietoverkkoja, joihin on kohdistettu haitallisia hakkereita tietojen paljastamiseksi ja vaarantamiseksi. Tietokonerikostutkinta voi olla haastavaa todisteiden lyhytaikaisen luonteen vuoksi, joten tietokoneiden suojaaminen ja hallinta on kriittistä ennen tutkinnan aloittamista.
Tutkijat voivat kloonata järjestelmän tutkiakseen sitä vaarantamatta alkuperäistä. Tietokonerikostutkimuksiin voi kuulua tietokonejärjestelmän yksityiskohtainen tarkastus haittakoodin, suoja -aukkojen ja muiden ongelmien etsimiseksi. Tutkijat voivat etsiä vaarantavia tiedostoja ja ohjelmia, mukaan lukien materiaalit, joita ihmiset ovat yrittäneet poistaa, muuttaa tai salata. Tutkinnan yksityiskohdat riippuvat tutkittavan rikoksen tyypistä. Hakkerointia varten esimerkiksi tietokonerikostutkinnassa on löydettävä todisteita tunkeutumisesta ja liitettävä se lähteeseen.
Todisteiden ketjun ylläpitäminen tietokonerikostutkimuksissa on haastavaa. Tutkijoiden on dokumentoitava huolellisesti kaikki tekemänsä ja voi nauhoittaa, tallentaa näppäinpainalluksia ja ryhtyä muihin toimiin seuratakseen toimintaansa. Jos todisteet haastetaan tuomioistuimessa, ryhmän on pystyttävä osoittamaan, että todisteet ovat alkuperäisiä ilman muutoksia, jotka saattaisivat vaarantaa niiden pätevyyden. Tämän alan jäsenet tarkistavat ja päivittävät jatkuvasti todisteita koskevia ohjeita, jotta ne pysyvät tietokonerikostutkinnan tahdissa, ja asettavat tutkijoille standardin missä tahansa.
Kun todisteet on kerätty ja luetteloitu kokonaan, tiimi voi halutessaan säilyttää takavarikoimansa laitteet, kunnes asia menee oikeuteen ja tullaan kuulluksi. Tämä varmistaa, että heillä on pääsy, jos he tarvitsevat sitä oikeudenkäynnin aikana. Muussa tapauksessa tietokoneet ja muut laitteet voidaan luovuttaa omistajilleen, mikä voi lopulta vaarantaa jäljellä olevan näytön.