Računalniški dokazi so podatki, ki se zbirajo s trdega diska računalnika in se uporabljajo v postopku preiskave kaznivega dejanja. Ker je razmeroma enostavno pokvariti podatke, shranjene na trdem disku, se forenzični strokovnjaki zelo potrudijo, da zavarujejo in zaščitijo računalnike, ki so zaseženi v okviru preiskovalnega postopka. Pridobivanje podatkov mora potekati v zelo nadzorovanih okoliščinah in ga morajo opraviti strokovnjaki organov pregona, ki so posebej usposobljeni za ta postopek.
Nič nenavadnega ni, da se računalniki zbirajo, ko jih najdejo na kraju zločina. Na primer, ko posameznika najdejo umorjenega v svojem domu, obstaja velika verjetnost, da bodo vsi prenosni ali namizni računalniki, najdeni na kraju dogodka, zaseženi. Na enak način, če je posameznik aretiran zaradi suma neke vrste goljufije ali poneverbe, bodo njegovi osebni in delovni računalniki verjetno zbrani za analizo s strani strokovnjakov.
Postopek iskanja računalniških dokazov se začne s temeljitim pregledom vseh datotek, najdenih na trdem disku. Da bi to dosegli, je trdi disk skrbno pregledan za morebitne skrite ali zavarovane datoteke, ki morda niso takoj vidne. Ker trdi diski shranjujejo kopije datotek, ki so izbrisane iz javnih imenikov, bodo strokovnjaki, vključeni v forenzično preiskavo, poskušali poiskati in ekstrahirati datoteke, ki so bile izbrisane. To je pomembno, saj obstaja možnost, da bi vključili podatke, ki bi lahko potrdili krivdo ali morda dokazali, da aretiran posameznik ni bil vpleten v storitev kaznivega dejanja.
Številne različne vrste datotek lahko prinesejo računalniške dokaze, ki lahko pomagajo pri reševanju kaznivega dejanja. Vizualne slike, e-poštna sporočila, preglednice in druge običajne vrste datotek lahko šifrirate in skrijete v različne predpomnilnike na trdem disku. Strokovnjaki vedo, kako najti te skrite predpomnilnike, dostopati do njih in si ogledati vsebino teh predpomnilnikov. Številni operacijski sistemi samodejno izvajajo to funkcijo, tudi ko so datoteke izbrisane, in ustvarjajo kopije, ki so nameščene v skritem predpomnilniku. To pomeni, da tudi če je storilec storil ukrepe za brisanje obremenilnih dokazov s trdega diska, obstaja velika verjetnost, da bo eden ali več teh skritih predpomnilnikov spregledanih in jih lahko izvlečejo organi pregona.
Zbiranje računalniških dokazov je zelo usposobljena naloga, ki se običajno izvaja v posebnih korakih. Ko je računalnik zasežen, se prenese na varno mesto. Le omejeno število pooblaščenih posameznikov ima dostop do sistema, medtem ko se rudarijo zaradi morebitnih dokazov. Ker rudarjenje in pridobivanje potekata v tako strogih pogojih, je skoraj nemogoče posegati v trdi disk. To omogoča, da so vsi zbrani dokazi koristni v preiskavi, ki je v teku.
Uporaba računalniških dokazov na sodišču je v zadnjih letih postala bolj sprejemljiva. Zaskrbljenost zaradi prirejanja ali poškodovanja dokazov v preteklih letih je včasih povzročila omejitve glede tega, koliko dokazov, zbranih iz računalnikov, lahko nosijo v danem primeru. Ker pa so organi pregona izboljšali svoje metode za ohranjanje in zaščito trdih diskov pred morebitno kontaminacijo, več pravnih sistemov po vsem svetu meni, da so računalniški dokazi popolnoma dopustni na sodišču.