Informatyka śledcza to dostarczanie elektronicznych środków dowodowych (ang. Computer Forensics), czyli zespół działań i czynności, które polegają na zabezpieczeniu, przeszukiwaniu i wykrywaniu dowodów nadużyć i przestępstw dokonanych z użyciem komputera lub innych urządzeń elektronicznych. Poprzez Computer Forensics można odtworzyć kolejność zdarzeń użytkownika urządzenia elektronicznego w czasie (Kto? Co? Gdzie? Kiedy? Jak?), na podstawie informacji niedostępnych dla użytkowników i administratorów systemu. Ważne jest aby procedura Computer Forensics była przeprowadzona w odpowiedni sposób, zgodny z wymogami prawa.

Proces Computer Forensics to cykl czynności, na który składają się:

• zebranie danych z dostępnych nośników,
• przygotowanie kopii, na której pracują specjaliści (oryginalny nośnik zostaje zabezpieczony),
• odfiltrowanie nieistotnych danych (pliki należące do systemu operacyjnego oraz typowych programów czy powtarzające się pliki),
• analiza zebranych dowodów pod kątem prowadzonej sprawy,
• przedstawienie raportu,
• udostępnianie i prezentacja danych oraz opiniowanie w sprawie sądowej.

Zgromadzenie dowodów polega m.in. na zabezpieczeniu nośników danych i stworzeniu dwóch obrazów każdego nośnika. Jeden z wykonanych obrazów nośnika używany jest do analizy danych pod kątem poszukiwania określonych z góry kryteriów, drugi obraz nośnika zostaje zabezpieczony. W przypadku wystąpienia poszukiwanych danych stanowi on materiał dowodowy. Każdy z etapów pracy musi być udokumentowany tak, aby przedstawiony materiał nie utracił wartości dowodowej. Jednym ze sposobów zachowania wartości dowodowej materiałów jest oznaczenie ich unikalną sumą kontrolną gwarantującą identyczność materiału źródłowego i kopii. Raport stanowi podsumowanie i zestawienie znalezionych materiałów dowodowych. Odnalezione w ten sposób elektroniczne dowody przestępczości mogą być wykorzystane jako materiały dowodowe w sądzie.