Istrage računalnih zločina nastoje utvrditi prirodu zločina i prikupiti dokaze koji će dovesti do osude. Usput, istražitelji mogu otkriti informacije koje mogu koristiti za predviđanje i sprječavanje zločina slične prirode u budućnosti. Na primjer, mogli bi primijetiti rupu u programu koji omogućuje upade i mogli bi kontaktirati proizvođača kako bi preporučili zakrpu za ispravljanje problema. Za ovu vrstu posla neophodna je obuka iz informacijske tehnologije, kao i iskustvo u prikupljanju i rukovanju dokazima kako bi se smanjio rizik od prikupljanja informacija koje se ne mogu legalno koristiti.
Proces počinje kada netko nazove da prijavi zločin ili nadzorna agencija otkrije dokaze o zločinu. Istražni timovi moraju osigurati računala, mreže i komponente koje bi mogle biti povezane s incidentom. To može uključivati stvari kao što su financijske mreže povezane s pronevjerom u prijevari ili računalne mreže ciljane zlonamjernim hakovima u pokušaju razotkrivanja i kompromitiranja podataka. Istrage računalnih zločina mogu biti izazovne zbog efemerne prirode dokaza, zbog čega je ključno osigurati računala i staviti ih pod kontrolu prije početka istrage.
Istražitelji mogu klonirati sustav kako bi ga istražili bez ugrožavanja originala. Istrage računalnih zločina mogu uključivati detaljnu reviziju računalnog sustava radi traženja zlonamjernog koda, sigurnosnih rupa i drugih problema. Istražitelji mogu tražiti kompromitirajuće datoteke i programe, uključujući materijal koji su ljudi pokušali izbrisati, izmijeniti ili sakriti. Specifičnosti istrage ovise o vrsti kaznenog djela koje se istražuje. Za hakiranje, na primjer, istrage računalnog kriminala moraju otkriti dokaze da je došlo do upada i moraju ih povezati s izvorom.
Održavanje lanca dokaza s istragama računalnih zločina je izazovno. Istražitelji moraju pažljivo dokumentirati sve što rade i mogu snimati na video, snimati pritiske tipki i poduzeti druge mjere za praćenje njihovih aktivnosti. U slučaju da se dokaz ospori na sudu, tim mora biti u mogućnosti pokazati da je dokaz originalan, bez izmjena koje bi mogle ugroziti njegovu valjanost. Članovi ovog područja stalno revidiraju i ažuriraju smjernice za dokaze kako bi išli ukorak s istragama računalnih zločina i postavili standard koje istražitelji moraju slijediti gdje god da rade.
Nakon što se dokazi u potpunosti prikupe i katalogiziraju, tim može odlučiti zadržati opremu koju su zaplijenili dok stvar ne ode na sud i ne bude saslušana. Time se osigurava da imaju pristup ako im zatreba tijekom suđenja. Inače bi računala i drugi uređaji mogli biti vraćeni vlasnicima, što bi u konačnici moglo ugroziti sve preostale dokaze.