Kompiuterinių nusikaltimų tyrimais siekiama nustatyti nusikaltimo pobūdį ir surinkti įrodymus, kad būtų priimtas apkaltinamasis nuosprendis. Pakeliui tyrėjai gali atskleisti informaciją, kurią jie gali panaudoti prognozuodami panašaus pobūdžio nusikaltimus ir jiems užkertant kelią ateityje. Pavyzdžiui, jie gali pastebėti programos spragą, leidžiančią įsilaužti, ir susisiekti su gamintoju, kad rekomenduotų pataisą problemai ištaisyti. Tokiam darbui būtinas informacinių technologijų mokymas, taip pat įrodymų rinkimo ir tvarkymo patirtis, siekiant sumažinti riziką rinkti informaciją, kurios negalima naudoti teisėtai.
Procesas prasideda, kai kas nors paskambina ir praneša apie nusikaltimą arba stebėjimo agentūra aptinka nusikaltimo įrodymų. Tyrimo grupės turi apsaugoti kompiuterius, tinklus ir komponentus, kurie gali būti susiję su incidentu. Tai gali apimti tokius dalykus kaip finansiniai tinklai, susiję su grobstymu sukčiavimo metu, arba kompiuterių tinklai, kurių tikslas yra kenkėjiškas įsilaužimas, siekiant atskleisti ir pažeisti duomenis. Kompiuterinių nusikaltimų tyrimai gali būti sudėtingi dėl efemeriško įrodymų pobūdžio, todėl prieš pradedant tyrimą labai svarbu apsaugoti kompiuterius ir juos kontroliuoti.
Tyrėjai gali klonuoti sistemą, kad galėtų ją ištirti nepakenkdami originalui. Kompiuterinių nusikaltimų tyrimai gali apimti išsamų kompiuterinės sistemos auditą, siekiant ieškoti kenkėjiško kodo, saugumo spragų ir kitų problemų. Tyrėjai gali ieškoti kompromituojančių failų ir programų, įskaitant medžiagą, kurią žmonės bandė ištrinti, pakeisti ar nuslėpti. Tyrimo specifika priklauso nuo tiriamo nusikaltimo rūšies. Pavyzdžiui, įsilaužimo atveju kompiuterinių nusikaltimų tyrimai turi atskleisti įrodymus, kad buvo įsilaužta, ir susieti juos su šaltiniu.
Išlaikyti įrodymų grandinę atliekant kompiuterinių nusikaltimų tyrimus yra sudėtinga. Tyrėjai turi atidžiai dokumentuoti viską, ką daro, ir gali filmuoti, įrašyti klavišų paspaudimus ir imtis kitų priemonių savo veiklai stebėti. Jei įrodymai ginčijami teisme, komanda turi sugebėti įrodyti, kad įrodymai yra originalūs, be pakeitimų, galinčių pakenkti jų galiojimui. Šios srities nariai nuolat peržiūri ir atnaujina įrodymų gaires, kad neatsiliktų nuo kompiuterinių nusikaltimų tyrimų ir nustatytų standartą, kurio tyrėjai turi laikytis, kad ir kur jie dirbtų.
Kai įrodymai bus visiškai surinkti ir surašyti, komanda gali nuspręsti pasilikti konfiskuotą įrangą, kol byla bus išnagrinėta teisme. Taip užtikrinama, kad jie turės prieigą, jei jos prireiks per bandomąjį laikotarpį. Priešingu atveju kompiuteriai ir kiti įrenginiai gali būti grąžinti jų savininkams, o tai galiausiai gali pažeisti visus likusius įrodymus.