No passado não muito distante, os computadores eram dispositivos monolíticos que exigia um ambiente distinto e específico clima controlado e técnicos com uma habilidade especializada conjunto para mantê-las e fazer uso deles. Apenas os governos e as grandes corporações poderiam possuí-los e pagar os profissionais que podem se comunicar com eles.
Agora, computadores são uma parte onipresente da vida, e sistemas de jogos e calculadoras têm mais poder de computação e capacidade de armazenamento de dados do que os computadores cedo, gigantes.
Como os computadores são tão prevalentes, a quantidade de pessoal, corporativo e governo de dados armazenados em vários dispositivos aumenta a cada minuto que passa. Medidas de segurança não sempre mantém-se com a mais recente tecnologia e mídia digital é muitas vezes parte das investigações do crime. A natureza crítica de grande parte destes dados criou a necessidade de uma nova ciência chamada análise forense digital, ou às vezes, computação forense.
Forense digital é um ramo da ciência forense, que inclui a recuperação, investigação e análise dos dados encontrados em dispositivos digitais, como computadores, telefones inteligentes e dispositivos de armazenamento de mídia de tal forma que os resultados poderão ser inseridos como prova em tribunal. No setor privado, ele pode ser usado para descobrir a natureza e a extensão de uma intrusão de rede não autorizado.
Um dos objetivos é preservar evidências em sua forma mais original durante a realização de um inquérito estruturado. O processo inclui frequentemente a apreensão, imagens forense e análise de mídia digital e a produção de um relatório sobre os resultados. Esta investigação estruturada precisa manter uma cadeia documentada de provas para descobrir exatamente o que aconteceu em um dispositivo de computação e quem foi o responsável por isso. Também tem de haver uma clara cadeia de custódia de confiança que os dados não foi adulterados ou comprometidos. Coleta de dados feita incorretamente pode alterar ou corromper os dados sendo coletados, tornando-o inútil para a investigação.
O primeiro passo é para preservar a cena do crime, fazendo uma cópia de todos os de memória e discos rígidos. Isso preserva o estado do dispositivo e permite ser colocado de volta em uso. Depois que os dados são preservados, pode iniciar a investigação para provas.
Um especialista forense de computador deve mostrar habilidades e experiência, ganhando pelo menos uma das principais certificações em computação forense. Um examinador competente pode recuperar arquivos apagados, analisar dados de Internet para determinar os sites que foram visitados de um determinado computador mesmo em quando o histórico do navegador e cache poderá ter sido eliminados.
Um especialista forense de computador também é capaz de recuperar as comunicações enviadas via chat ou mensagens instantâneas. Durante a realização da análise, o perito também pode recuperar imagens deletadas e mensagens de e-mail. No mundo moderno de dispositivos de Internet móvel, um perito forense de computador competentes também será capaz de recuperar suprimido dados de telefones celulares, incluindo excluídos texto mensagens, logs de chamadas, e-mails e afins.
Durante as investigações forense Digital, etapas específicas e procedimentos que requerem um nível de competência técnica adicional devem ser seguidos para acessar, preservar e analisar os dados e para eliminar qualquer risco de espoliação. Somente treinados profissionais, que também possuam-la de conhecimento, deve ser confiável para lidar com este processo. Isso garante que os dados podem ser admitidos por uma equipe jurídica como prova em tribunal.