Det finns ett antal olika datorkriminaltekniska verktyg tillgängliga från olika mjukvaruutvecklare, även om de flesta av dem är utformade som individuella applikationer eller större verktygssatser. Många av dessa program är utformade för att göra det möjligt för kriminaltekniska specialister att se och spara information från en lagringsenhet till en annan, inklusive diskavbildare som skapar en ”bild” av en hårddisk. Det finns också program som kan användas för att återställa data som raderades från en enhet eller visa metadata i ett medieformat eller en fil. Även om många av dessa datorkriminaltekniska verktyg är tillgängliga individuellt, har vissa verktygssatser också skapats som kombinerar flera verktyg i en enda applikation.
Ett av de mest populära och användbara datorkriminaltekniska verktygen är ett program som ofta kallas för en diskimager. Det här programmet kan användas för att skapa en ”bild” av en disk, inklusive bärbara mediaenheter och hårddiskar. Bilden är faktiskt en kopia av all information som finns lagrad på disken, vilket gör att en datorkriminalteknisk analytiker kan skapa en kopia av en enhet för vidare forskning. Dessa datorkriminaltekniska verktyg är viktiga i brottsutredningar, vilket gör att arbete kan utföras på en kopia av en enhet utan att riskera den ursprungliga enheten och de data som finns på den.
Det finns också många datorforensiska verktyg utvecklade för att ge analytiker verktyg för att återställa och visa olika typer av data. Dessa program kan inkludera partitionshanterare och tittare, som gör det möjligt för kriminaltekniker att se filer eller partitioner som kan vara dolda på en dator, samt programvara som kan användas för att återställa filer som raderades från en dator. Raderade filer lämnar ofta efter sig bitar av data som kan användas för att eventuellt återskapa originalfilen eller för att åtminstone visa en del av filen.
Datorforensiska verktyg kan också utvecklas för att hjälpa användare att hitta och analysera metadata på en disk eller associerad med en fil. Denna typ av data kan användas för att avgöra var en disk användes på en dator eller för att hitta när en fil kan ha ändrats eller nåtts tidigare. Dessa datorkriminaltekniska verktyg tillhandahålls ofta av programvaruföretag som individuella verktyg, även om de också kan vara tillgängliga i en bunt eller verktygslåda. Sådana program och verktygssatser kan vara ganska dyra, eftersom de ofta är utvecklade för brottsbekämpande eller företagsanvändning, och verktygssatserna kan faktiskt tillhandahålla dessa verktyg till ett lägre totalpris för användning av kriminaltekniker.