Um examinador forense de informática normalmente trabalha como parte de uma agência policial ou organização policial na análise e interpretação de dados de computador para investigação de um crime. As tarefas específicas executadas por esse tipo de examinador forense geralmente envolvem dados do computador e podem incluir qualquer coisa, desde a análise de metadados em um email até a criação de imagens e a análise do disco rígido do computador. Outras tarefas comuns incluem a recriação de arquivos de computador excluídos e o uso de vários programas de software para avaliar as evidências do computador e documentar adequadamente o processo para uso em tribunal. Um examinador forense de computadores também costuma fornecer testemunhos em tribunal sobre evidências de computadores que foram encontradas e usadas durante uma investigação.
Grande parte do trabalho realizado por um examinador forense de computador ocorre durante uma investigação criminal ou processo de descoberta civil. Para investigações criminais, esse trabalho geralmente envolve o exame e a análise de hardware, software e arquivos de computador para fornecer evidências a respeito de um suspeito ou construir um caso de culpa ou inocência de um suspeito. Na descoberta civil, o trabalho realizado por um examinador forense de computador é frequentemente usado para determinar se alguém está mentindo ou deturpando os fatos em um caso.
Independentemente do tipo de caso que está sendo trabalhado, um examinador forense de computador normalmente examinará grandes quantidades de dados do computador. Isso pode incluir hardware de computador, como discos rígidos ou discos, e arquivos de dados, como e-mails e documentos em um computador. Usando software especializado e uma variedade de técnicas, um examinador forense de computador pode recriar arquivos excluídos em um sistema, determinar de onde um email pode ter sido enviado e ler arquivos criptografados. Durante o final do século 20 e início do século 21, o trabalho realizado por examinadores forenses levou a prisões em vários casos, incluindo o infame assassino “BTK” que foi pego em 2005 devido a metadados em um disquete que ele enviou à polícia que indicou seu primeiro nome e local em que o disco foi usado.
Um examinador forense em computadores também normalmente trabalha após uma investigação para fornecer testemunho em tribunal e opiniões de especialistas sobre um caso. À medida que o examinador trabalha em uma investigação, ele ou ela documenta cada etapa e o trabalho executado para atender aos padrões de evidência que serão introduzidos em um processo judicial. Quando isso estiver concluído, ele ou ela poderá precisar apresentar o trabalho e defendê-lo contra interrogatório por um advogado. Um examinador forense de computação também precisará tipicamente explicar os métodos usados para encontrar evidências de uma maneira que os juízes e membros do júri possam entender efetivamente.