Некоторые особенности криминалистической экспертизы компьютерных данных:

• Неявный вид информации. 2 Для её восприятия необходимы специальные средства. 2
• Возможность уничтожения или модификации в кратчайшие сроки и удалённо. 2
• Наличие специальных средств, ограничивающих доступ к данным. 2
• Постоянное изменение информации в ходе работы пользователя и выполнения различных операций. 2
• Формирование взаимосвязанной информации на различных устройствах одновременно при передаче данных по каналам связи. 2

Перечисленные свойства цифровых данных обусловливают необходимость соблюдения определённых правил при фиксации и изъятии цифровых доказательств, а также их судебно-экспертном исследовании. 2

Некоторые виды криминалистической экспертизы компьютерных данных:

• Экспертиза дисков. 5 Эксперты используют данные, восстановленные с физических устройств хранения данных, для восстановления удалённых и скрытых разделов. 5
• Сетевая криминалистика. 5 Подразумевает исследование сетевого трафика для сбора доказательств, касающихся инцидентов безопасности в системах, несанкционированного доступа или любой другой вредоносной активности, произошедшей в системе. 5
• Криминалистика базы данных. 5 Это процесс сбора информации, содержащейся в базе данных, как данных, так и связанных с ними метаданных. 5
• Экспертиза памяти. 5 Фокусируется на сборе информации в энергозависимой памяти компьютера (ОЗУ) и кеше для извлечения информации, которая либо активна, либо находится в режиме гибернации. 5
• Мобильная криминалистика. 5 Процедура включает в себя использование специального программного обеспечения с функциями извлечения, исследования и восстановления данных, которые хранятся на устройствах (смартфонах, планшетах и устройствах GPS). 5