Datornoziegumu izmeklēšanas mērķis ir noteikt nozieguma būtību un savākt pierādījumus, lai pieņemtu notiesājošu spriedumu. Pa ceļam izmeklētāji var atklāt informāciju, ko viņi var izmantot, lai prognozētu un novērstu līdzīga rakstura noziegumus nākotnē. Piemēram, viņi var pamanīt nepilnību programmā, kas padara iespējamus ielaušanos, un var sazināties ar ražotāju, lai ieteiktu ielāpu problēmas novēršanai. Šāda veida darbam ir nepieciešama apmācība informācijas tehnoloģiju jomā, kā arī pieredze pierādījumu vākšanā un apstrādē, lai samazinātu risku ievākt informāciju, kuru nevar izmantot likumīgi.
Process sākas, kad kāds zvana, lai ziņotu par noziegumu, vai uzraudzības aģentūra atklāj nozieguma pierādījumus. Izmeklēšanas grupām ir jānodrošina datori, tīkli un komponenti, kas var būt saistīti ar incidentu. Tas var ietvert lietas, piemēram, finanšu tīklus, kas saistīti ar piesavināšanos krāpšanas rezultātā, vai datortīklus, kuru mērķis ir ļaunprātīgi uzlauzt datus, mēģinot atklāt un apdraudēt datus. Datornoziegumu izmeklēšana var būt sarežģīta, jo pierādījumi ir īslaicīgi, tāpēc pirms izmeklēšanas sākšanas ir ļoti svarīgi nodrošināt datoru drošību un kontroli.
Izmeklētāji var klonēt sistēmu, lai to izpētītu, neapdraudot oriģinālu. Datornoziegumu izmeklēšana var ietvert detalizētu datorsistēmas auditu, lai meklētu ļaunprātīgu kodu, drošības nepilnības un citas problēmas. Izmeklētāji var meklēt kompromitējošus failus un programmas, tostarp materiālus, kurus cilvēki ir mēģinājuši dzēst, mainīt vai noslēpt. Izmeklēšanas specifika ir atkarīga no izmeklējamā nozieguma veida. Piemēram, uzlaušanas gadījumā datornoziegumu izmeklēšanai ir jāatklāj pierādījumi, ka ir notikusi ielaušanās, un tie jāsaista ar avotu.
Pierādījumu ķēdes uzturēšana ar datornoziegumu izmeklēšanu ir sarežģīta. Izmeklētājiem ir rūpīgi jādokumentē viss, ko viņi dara, un viņi var uzņemt video, ierakstīt taustiņsitienus un veikt citus pasākumus, lai izsekotu viņu darbībām. Gadījumā, ja pierādījumi tiek apstrīdēti tiesā, komandai jāspēj pierādīt, ka pierādījumi ir oriģināli, bez izmaiņām, kas varētu apdraudēt to derīgumu. Šīs jomas dalībnieki pastāvīgi pārskata un atjaunina pierādījumu vadlīnijas, lai neatpaliktu no datornoziegumu izmeklēšanas un noteiktu standartu, kas izmeklētājiem jāievēro, lai kur viņi strādātu.
Kad pierādījumi ir pilnībā savākti un kataloģizēti, komanda var izvēlēties paturēt konfiscēto aprīkojumu, līdz lieta nonāk tiesā un tiks izskatīta. Tas nodrošina, ka viņiem ir piekļuve, ja viņiem tā ir nepieciešama izmēģinājuma laikā. Pretējā gadījumā datori un citas ierīces var tikt nodotas atpakaļ to īpašniekiem, kas galu galā varētu apdraudēt visus atlikušos pierādījumus.