Na komputerowym dysku twardym zapisują się nie tylko dane „robocze”, dostępne z poziomu użytkownika. Swe odzwierciedlenie w postaci zapisu w pamięci urządzenia znajduje każda aktywność użytkownika przy użyciu sprzętu komputerowego.
Użytkownik komputera z poziomu zwykłych komend i funkcji dostępnych dla osób nie będących specjalistami w zakresie informatyki, ma dostęp do danych użytkowych przechowywanych na dysku twardym, tj. dokumentów, projektów, plików multimedialnych, czy poczty, a także informacji o systemie operacyjnym i zainstalowanych na komputerze programach i aplikacjach. Poza dostępem przeciętnego użytkownika, nie posiadającego specjalistycznej wiedzy, bądź narzędzi, znajduje się m.in. strefa serwisowa dysku, główna tablica alokacji plików oraz dane dotyczące aktywności użytkownika na urządzeniu oraz w sieci.
Strefa serwisowa dysku stanowi obszar nośnika odpowiedzialny za sterowanie jego pracą, zawierający informacje o nośniku, uszkodzonych sektorach, czy mapie błędów. Z kolei główna tablica alokacji plików (File Allocation Table – FAT) to system plików, zawierający informacje o poszczególnych plikach, ich atrybutach, rozmieszczeniu na dysku, czy poziomie fragmentacji.
Przeciętny użytkownik, nie posiadający wiedzy informatycznej nie może tych informacji zmodyfikować ani usunąć. Nawet po przeinstalowaniu systemu operacyjnego, czy usunięciu danych, w wielu przypadkach jest możliwość uzyskania informacji o plikach uprzednio zapisanych na nośniku, nawet jeśli ich odzyskanie nie jest już możliwe z uwagi na poziom zniszczenia.
Także w sieci nikt nie może czuć się anonimowy – każde urządzenie końcowe posiada unikalne dla niego oznaczenia, które w razie potrzeby z łatwością mogą doprowadzić do jego właściciela. Poza tym operatorzy telekomunikacyjny zobowiązani są do udostępniania organom ścigania informacji o użytkownikach, zatem wykrycie sprawcy czynu zabronionego w sieci nie sprawia dziś trudności.
Dlatego, w przypadku kiedy zachodzi konieczność ustalenia działań użytkownika na urządzeniu, bądź jego aktywności w internecie, biegli specjaliści z zakresu odzyskiwania danych oraz informatyki śledczej mogą – przy użyciu specjalistycznego sprzętu i oprogramowania – odnaleźć cyfrowe ślady (dowody elektroniczne).
Ma to szczególne znaczenie w przypadkach kiedy zachodzi potrzeba przeanalizowania nośnika cyfrowego pod kątem występowania na nim wybranych treści w ramach postępowań prowadzonych przez organy ścigania, np. gromadzenia oraz udostępniania plików zawierających pornografię dziecięcą, czy postępowań cywilnych, np. szpiegostwa przemysłowego. W postanowieniu o powołaniu biegłego prokurator wskazuje hipotezy, oparte na zgromadzonym tradycyjnym materiale dowodowym, które biegły informatyk śledczy potwierdza, bądź obala na podstawie pozyskanego z dysku oraz przeanalizowanego materiału cyfrowego.
W zależności od wagi sprawy oraz możliwości technologicznych biegli powoływani są spośród funkcjonariuszy służb i organów ścigania, bądź z ryku komercyjnego. Z uwagi na wąską specjalizację oraz konieczność dysponowania fachową wiedzą i profesjonalnymi narzędziami na polskim rynku funkcjonuje tylko kilka firm prywatnych specjalizujących się w informatyce śledczej. Z całą pewnością nie mogą narzekać na brak pracy.
Wraz z rozwojem społeczeństwa informacyjnego wiele czynów zabronionych przeniosło się do wymiaru wirtualnego i dokonywanych jest przy pomocy narzędzi jakie dają nowoczesne technologie. Na szczęście Informatyka śledcza dysponuje w dzisiejszych czasach szerokim spektrum możliwości pozwalających na pozyskiwanie oraz analizowanie dowodów cyfrowych. Dzięki temu cyberprzestępcy nie mogą się czuć bezkarni.