Les données des systèmes, réseaux informatiques, communications sans fil et périphériques de stockage peuvent être collectées et analysées dans le cadre d'une enquête criminelle. Dans ce cas, la collecte et l'analyse des données sont appelées « recherche de preuves informatiques ». Cette procédure repose à la fois sur des lois spécifiques et des lois liées à l'informatique, pour s'assurer que les données collectées sont recevables en tant que preuves par un tribunal.
Selon le pays, l'utilisation illégale d'un réseau ou un d'un ordinateur peut inclure :
- L'usurpation d'identité
- L'utilisation d'un ordinateur pour vendre des contrefaçons
- L'utilisation de logiciels piratés sur un ordinateur ou un réseau
- L'utilisation d'un ordinateur ou d'un réseau pour créer des copies illégales de produits protégés par des droits d'auteur (par exemple des films, programmes télévisés, musiques, et jeux vidéo)
- L'utilisation d'un ordinateur ou d'un réseau pour vendre des copies illégales de produits protégés par des droits d'auteur
- La pornographie
Cette liste n'est pas exhaustive.
Deux types de données sont collectées dans le cadre d'une recherche de preuves informatiques : les données permanentes et les données volatiles.
Données permanentes : données stockées sur un lecteur local, par exemple un disque dur interne ou externe, ou un disque optique. Lorsque l'ordinateur est éteint, ces données sont conservées.
Données volatiles : la mémoire vive, le cache et les registres contiennent des données volatiles. Les données en transit entre un support de stockage et un processeur sont également volatiles. Il est important de savoir comment récupérer ces données, car elles disparaissent dès que l'ordinateur est éteint.