Evidência de computador são dados coletados no disco rígido do computador e utilizados no processo de uma investigação criminal. Como é relativamente fácil corromper os dados armazenados em um disco rígido, os especialistas forenses fazem um grande esforço para proteger e proteger os computadores apreendidos como parte do processo de investigação. A extração dos dados deve ocorrer em circunstâncias altamente controladas e deve ser realizada por profissionais da aplicação da lei que são treinados especificamente no processo.

Não é incomum que computadores sejam coletados sempre que são encontrados em uma cena de crime. Por exemplo, quando um indivíduo é encontrado assassinado em sua casa, há uma boa chance de que qualquer laptop ou desktop encontrado no local seja confiscado. Da mesma forma, se um indivíduo for preso por suspeita de algum tipo de fraude ou apropriação indébita, é provável que seus computadores pessoais e de trabalho sejam coletados para análise por especialistas.

O processo de busca por evidências de computador começa com uma revisão completa de todos os arquivos encontrados no disco rígido. Para fazer isso, o disco rígido é cuidadosamente examinado quanto a arquivos ocultos ou protegidos que podem não ser facilmente aparentes. Como os discos rígidos salvam cópias dos arquivos excluídos dos diretórios públicos, os especialistas envolvidos na investigação forense procurarão localizar e extrair os arquivos excluídos. Isso é importante, pois existe a possibilidade de incluir dados que possam confirmar a culpa ou possivelmente fornecer prova de que o indivíduo preso não estava envolvido na prática do crime.

Muitos tipos diferentes de arquivos podem produzir evidências de computador que podem ajudar na solução de um crime. Imagens visuais, emails, planilhas e outros tipos comuns de arquivos podem ser criptografados e ocultados em vários caches no disco rígido. Os especialistas sabem como encontrar esses caches ocultos, acessá-los e visualizar o conteúdo desses caches. Muitos sistemas operacionais executam essa função automaticamente, mesmo quando os arquivos são excluídos, criando cópias que são colocadas nos caches ocultos. Isso significa que, mesmo que o criminoso tenha tomado medidas para remover evidências incriminadoras do disco rígido, há uma boa chance de que um ou mais desses caches ocultos sejam ignorados e possam ser extraídos pela polícia.

A coleta de evidências de computador é uma tarefa altamente qualificada, geralmente realizada em etapas específicas. Depois que o computador é confiscado, ele é transportado para um site seguro. Somente um número limitado de indivíduos autorizados tem acesso ao sistema enquanto ele está sendo extraído para possíveis evidências. Como a mineração e a extração são realizadas em condições tão rigorosas, é praticamente impossível que o disco rígido seja violado. Isso possibilita que qualquer evidência coletada seja útil na investigação em andamento.

O uso de evidências de computador no tribunal ganhou mais aceitação nos últimos anos. Preocupações sobre adulteração ou danos às evidências nos últimos anos às vezes levavam a restrições sobre a quantidade de evidências coletadas de computadores que poderiam suportar um determinado caso. No entanto, à medida que a aplicação da lei aprimora seus métodos para preservar e proteger os discos rígidos contra possíveis contaminações, mais sistemas legais em todo o mundo estão vendo as evidências de computador como totalmente admissíveis em um tribunal.