Investigasi kejahatan komputer berusaha untuk menentukan sifat kejahatan dan mengumpulkan bukti untuk mengarah pada keyakinan. Sepanjang jalan, penyelidik dapat mengungkap informasi yang dapat mereka gunakan untuk memprediksi dan mencegah kejahatan serupa di masa depan. Misalnya, mereka mungkin mencatat celah dalam program yang memungkinkan penyusupan, dan dapat menghubungi pabrikan untuk merekomendasikan tambalan untuk memperbaiki masalah. Pelatihan di bidang teknologi informasi diperlukan untuk pekerjaan semacam ini, seperti halnya pengalaman dalam pengumpulan dan penanganan bukti untuk mengurangi risiko pengumpulan informasi yang tidak dapat digunakan secara legal.
Prosesnya dimulai ketika seseorang menelepon untuk melaporkan kejahatan, atau lembaga pemantau mendeteksi bukti kejahatan. Tim investigasi harus mengamankan komputer, jaringan, dan komponen yang mungkin terkait dengan insiden tersebut. Ini dapat mencakup hal-hal seperti jaringan keuangan yang terhubung dengan penggelapan dalam penipuan, atau jaringan komputer yang ditargetkan dengan peretasan berbahaya dalam upaya untuk mengekspos dan membahayakan data. Investigasi kejahatan komputer dapat menjadi tantangan karena sifat bukti yang fana, sehingga penting untuk mengamankan dan mengendalikan komputer sebelum memulai penyelidikan.
Penyelidik dapat mengkloning sistem untuk menjelajahinya tanpa mengorbankan aslinya. Investigasi kejahatan komputer dapat melibatkan audit terperinci dari sistem komputer untuk mencari kode berbahaya, celah keamanan, dan masalah lainnya. Penyelidik dapat mencari file dan program yang membahayakan, termasuk materi yang orang coba hapus, ubah, atau sembunyikan. Spesifik penyelidikan tergantung pada jenis kejahatan yang diselidiki. Untuk peretasan, misalnya, investigasi kejahatan komputer perlu mengungkap bukti bahwa penyusupan terjadi, dan harus menautkannya ke sumbernya.
Mempertahankan rantai bukti dengan investigasi kejahatan komputer itu menantang. Penyelidik perlu dengan hati-hati mendokumentasikan semua yang mereka lakukan dan mungkin merekam video, merekam penekanan tombol, dan mengambil tindakan lain untuk melacak aktivitas mereka. Dalam hal bukti ditantang di pengadilan, tim harus dapat menunjukkan bahwa bukti tersebut asli, tanpa perubahan yang dapat mengurangi keabsahannya. Anggota bidang ini terus-menerus merevisi dan memperbarui pedoman bukti untuk mengikuti investigasi kejahatan komputer dan menetapkan standar bagi penyelidik untuk mengikuti di mana pun mereka bekerja.
Setelah bukti telah dikumpulkan dan dikatalogkan sepenuhnya, tim dapat memilih untuk menyimpan peralatan yang mereka sita sampai masalah tersebut dibawa ke pengadilan dan disidangkan. Ini memastikan bahwa mereka memiliki akses jika mereka membutuhkannya selama uji coba. Jika tidak, komputer dan perangkat lain mungkin dilepaskan kembali ke pemiliknya, yang pada akhirnya dapat membahayakan bukti yang tersisa.