Računalni dokazi su podaci koji se prikupljaju s tvrdog diska računala i koriste u procesu istrage zločina. Budući da je relativno lako pokvariti podatke pohranjene na tvrdom disku, forenzičari se jako trude osigurati i zaštititi računala koja su zaplijenjena u sklopu istražnog procesa. Izdvajanje podataka mora se odvijati u vrlo kontroliranim okolnostima, a moraju ga postići stručnjaci za provedbu zakona koji su posebno obučeni za taj proces.
Nije neobično da se računala prikupljaju kad god se nađu na mjestu zločina. Na primjer, kada se osoba nađe ubijena u svojoj kući, postoji velika šansa da će bilo koje prijenosno ili stolno računalo pronađeno na mjestu događaja biti zaplijenjeno. Na sličan način, ako je pojedinac uhićen zbog sumnje u neku vrstu prijevare ili pronevjere, njegova ili njezina osobna i radna računala vjerojatno će biti prikupljena radi analize od strane stručnjaka.
Proces traženja računalnih dokaza počinje temeljitim pregledom svih datoteka pronađenih na tvrdom disku. Kako bi se to postiglo, tvrdi disk se pažljivo provjerava za sve skrivene ili zaštićene datoteke koje možda nisu odmah vidljive. Budući da tvrdi diskovi spremaju kopije datoteka koje su izbrisane iz javnih imenika, stručnjaci uključeni u forenzičku istragu nastojat će locirati i ekstrahirati datoteke koje su izbrisane. To je važno jer postoji šansa da bi uključili podatke koji bi mogli potvrditi krivnju, ili eventualno pružiti dokaz da uhićena osoba nije bila uključena u počinjenje zločina.
Mnoge različite vrste datoteka mogu dati računalne dokaze koji mogu pomoći u rješavanju zločina. Vizualne slike, e-poruke, proračunske tablice i druge uobičajene vrste datoteka mogu se šifrirati i sakriti u raznim predmemorijama na tvrdom disku. Stručnjaci znaju kako pronaći ove skrivene predmemorije, pristupiti im i vidjeti sadržaj tih predmemorija. Mnogi operativni sustavi automatski izvode ovu funkciju čak i kada se datoteke izbrišu, stvarajući kopije koje se stavljaju u skrivene predmemorije. To znači da čak i ako je kriminalac poduzeo korake da izbriše inkriminirajuće dokaze s tvrdog diska, postoji velika šansa da se jedan ili više tih skrivenih predmemorija previdi i da ih policija može izvući.
Prikupljanje računalnih dokaza vrlo je vješt zadatak koji se obično provodi u određenim koracima. Nakon što se računalo zaplijeni, prenosi se na sigurno mjesto. Samo ograničen broj ovlaštenih osoba ima pristup sustavu dok se minira radi mogućih dokaza. Budući da se rudarenje i ekstrakcija provode pod tako strogim uvjetima, praktički je nemoguće manipulirati tvrdim diskom. To omogućuje da svi prikupljeni dokazi budu korisni u istrazi koja je u tijeku.
Korištenje računalnih dokaza na sudu posljednjih je godina sve više prihvaćeno. Zabrinutost zbog neovlaštenog mijenjanja ili oštećenja dokaza u prošlim godinama ponekad je dovodila do ograničenja u pogledu količine dokaza prikupljenih s računala koji bi mogli utjecati na određeni slučaj. Međutim, kako je provedba zakona poboljšala svoje metode za očuvanje i zaštitu tvrdih diskova od moguće kontaminacije, sve više pravnih sustava diljem svijeta smatra računalne dokaze potpuno dopuštenim na sudu.