Jest to złożona dziedzina informatyki, której w głównym obszarze zainteresowań leżą zabezpieczenia oraz pogłębiona analiza postępowań i dowodów, które zostały zawarte na nośnikach cyfrowych. Jest to nauka, poparta konkretnymi metodami naukowymi. Specjalista w tej dziedzinie zajmuje się analizą dowodów cyfrowych oraz przygotowywaniem metod zabezpieczania dowodów. Istotne jest to, aby sposób, w jaki dowody zostały zabezpieczone nie był powodem, przez który zostaną one obalone.
Wbrew obiegowej opinii, informatyka śledcza nie skupia się jedynie na odzyskiwaniu danych. W przypadku, gdy do rąk informatyka trafia nośnik, który jest uszkodzony to według procedur powinien on przekazać taki nośnik do specjalisty, który dane te odzyska. Informatyka śledcza jest powiązana z nauką dotyczącą bezpieczeństwa i nauk prawnych.
Nośniki cyfrowe zawierają dowody – dane cyfrowe. Nośniki analizowane przez specjalistę to dyski twarde komputerów, dyskietki, a także płyty CD, nośniki pamięci przenośnej, telefony komórkowe oraz serwery. Dane analizowane mogą pochodzić także z serwisów społecznościowych, danych zawartych w chmurze czy wyszukiwarkach internetowych. Dane te można przechowywać, przetwarzać i transferować. Informatyka śledcza dotyczy tych danych, które są przechowywane. Dane przetwarzane, które znajdują się w pamięci, mogące być przetworzonymi w każdej chwili, są delegowane do zadań specjalisty zajmującego się analizą szkodliwego kodu. Dane transferowe leżą w obszarze działań specjalisty bezpieczeństwa IT.
W Polsce informatyka śledcza najczęściej jest stosowana w sprawach dotyczących kradzieży danych, przestępstw popełnianych przez zwalnianych lub nielojalnych pracowników, usuwanie lub kradzież danych firmowych. W sferze prywatnej informatyka cyfrowa jest niezbędna przy akcjach odnajdywania zbiegłych nieletnich, zaginionych osób, ustalanie motywów niewyjaśnionych zgonów.
Informatyka śledcza składa się z następujących faz:
1. Dowód musi zostać zabezpieczony, poprzez kopiowanie nośników z zapisanymi danymi,
2. Dane muszą zostać przetworzone – należy przygotować je do analizy. Na tym etapie może zajść konieczność odzyskiwania danych, dokonywania operacji na hasłach dostępowych – np. łamanie ich, przetwarzanie archiwów oraz doprowadzanie do jednolitych formatów dokumentów. Specjalista dokonuje także przefiltrowania danych, rozpoznania, aby do analizy posłużyły jedynie wartościowe materiały.
3. Dane cyfrowe muszą zostać poddane przeglądowi,
4. Dane cyfrowe muszą zostać przeanalizowane, także w różnych formatach,
5. Zwieńczeniem procesu jest raport, odnoszący się do dowodów, tez i postępowania, wyłonionego w czasie analizy.
Postępowania wykonywane w ramach informatyki śledczej mają charakter statyczny. Oczywiście może ona posłużyć jako element formalnego postępowania w sądzie.