コンピュータ・フォレンジックは、デジタル・フォレンジックの中でも最も一般的な分野のひとつであり、パソコンやサーバなどの記憶媒体を対象に、保存されたファイルやログ、レジストリ情報などを分析します。
具体的には、削除されたファイルの復元、ハードディスクの完全コピー（イメージ）の取得、ブラウザの閲覧履歴、ファイルの作成・変更日時の検出などが含まれます。この分野では、証拠となる情報がデバイス内に比較的安定して残っているため、事後的な解析にも向いています。
企業では従業員の業務端末の不正利用調査、家庭では児童ポルノなどの違法ファイル捜査、官公庁では公文書改ざん事件の追跡など、多岐にわたる用途で活用されています。

収集したデジタルデータは、その後の解析や裁判で証拠として使用できるよう、厳格な手続きで「保全」されます。保全とは、証拠データが収集以降まったく変更されていないことを保証する作業であり、信頼性確保の要です。保全にはいくつかの手法がありますが、最も重要なのはハッシュ値の照合です。データ収集時と解析前後で同一のハッシュ値が得られることで、データの完全性が担保されます。
また、データを扱う人物や時間、使用した機器やソフトウェアなどを詳細に記録した「チェーン・オブ・カストディ」も同様に重要です。これにより、どの段階で誰が証拠に関与したかを明確にし、証拠の真正性を保証します。証拠の保管も専用のメディアや保管庫を使用し、物理的な安全性にも配慮する必要があります。

「解析」では、収集・保全されたデータを詳細に調べ、事件や不正の証拠となる情報を抽出します。
このステップでは、ファイルの復元、ログの時系列分析、操作履歴の抽出、削除データの復元、通信履歴やチャット記録の検出など、さまざまな手法が用いられます。膨大なデータの中から有効な証拠を探し出すには、対象システムやOS、アプリケーションに関する深い理解が求められます。また、解析結果はタイムライン形式で整理されることが多く、関係者の行動や操作の流れを視覚的に把握しやすくします。フォレンジックツールの使用に加え、担当者の直感や経験も重要となる場面が多いため、継続的な技術研鑽が求められる分野です。

フォレンジック調査の最後のステップが「報告」です。解析で得られた事実や証拠を、第三者にとって明確で理解しやすい形でまとめた報告書を作成します。報告書には、調査対象・調査期間・使用ツール・取得データ・解析結果・検出された不審点・考察・結論などが整理され、法的手続きや社内対応に活用されます。報告の正確性と信頼性は、証拠としての価値を大きく左右するため、記述の客観性や論理性が重視されます。
必要に応じて、報告書とともに証拠ファイルやハッシュ値一覧、調査ログなども添付されることがあります。さらに、法廷や社内会議などで報告内容を口頭で説明する機会もあり、調査担当者のプレゼンテーション能力も問われることがあります。