Desde un punto de vista técnico, la informática forense es el proceso de análisis de discos duros, discos ópticos, disquetes, discos Zip, unidades flash USB, buffers de memoria y otras formas de medios de almacenamiento para descubrir pruebas criminales. Es decir, la informática forense incluye el análisis de pruebas criminales. Protección, identificación, extracción y archivo de pruebas informáticas almacenadas en medios magnéticos con información codificada. El método forense suele consistir en utilizar software y herramientas para examinar exhaustivamente los sistemas informáticos de acuerdo con algunos procedimientos predefinidos para extraer y proteger pruebas relacionadas con delitos informáticos.
La informática forense gira principalmente en torno a la evidencia electrónica. La evidencia electrónica, también conocida como evidencia informática, se refiere a registros electromagnéticos que se generan durante el funcionamiento de una computadora o sistema informático y cuyo contenido grabado se utiliza para probar los hechos de un caso. Con el desarrollo de la tecnología multimedia, la evidencia electrónica integra varios tipos de información como texto, gráficos, imágenes, animaciones, audio y video. Al igual que la evidencia tradicional, la evidencia electrónica debe ser creíble, precisa, completa, cumplir con las leyes y regulaciones y ser aceptable para el tribunal. Al mismo tiempo, la evidencia electrónica se diferencia de la evidencia tradicional en que es de alta tecnología, intangible y fácilmente destructible. Alta tecnología significa que la generación, el almacenamiento y la transmisión de pruebas electrónicas deben depender de tecnología informática, tecnología de almacenamiento, tecnología de redes, etc. Sin el equipo técnico correspondiente, las pruebas electrónicas no se pueden conservar ni transmitir. La intangibilidad significa que las pruebas electrónicas no pueden ser visibles directamente a simple vista y deben utilizar herramientas adecuadas. Fácilmente destructible significa que las pruebas electrónicas pueden manipularse y eliminarse fácilmente sin dejar ningún rastro. Las cuestiones importantes que deben resolverse en informática forense son cómo recopilar, proteger, analizar y mostrar pruebas electrónicas.
Existen muchas fuentes de información que se pueden utilizar para análisis forense informático, como registros del sistema, registros de trabajo del sistema de detección de intrusiones y firewall, registros de software antivirus, registros de auditoría del sistema, tráfico de monitoreo de red, correos electrónicos, información operativa. archivos del sistema, archivos de bases de datos y registros de operaciones, particiones de intercambio del disco duro, archivos y parámetros de configuración de software, archivos de script para completar funciones específicas, buffers de datos del navegador web, marcadores, registros de historial o registros de sesión, registros de chat en tiempo real, etc. Para evitar la detección, los sospechosos de delitos con habilidades de alta tecnología para cometer delitos a menudo borran los "rastros" restantes en el sistema de la víctima una vez finalizada la actividad delictiva, como eliminar o modificar archivos de registro y otros registros relacionados tanto como sea posible. Sin embargo, para las operaciones generales de eliminación de archivos, incluso después de vaciar la Papelera de reciclaje, aún es posible recuperar archivos eliminados si el disco duro no tiene un formato de bajo nivel o si el espacio en el disco duro está lleno.