Un Digital Forensic Investigation (IT: Indagine Digitale Forense) è un processo per rispondere alle domande circa gli eventi digitali avvenuti su un computer. Si cerca di rispondere alla domanda ” che cosa è l’indirizzo completo del file di nome important.doc ? ” . In generale, le indagini digitali potrebbero cercare di rispondere a domande come “il file di X esiste ? “, ” il programma Y stava girando? ” , O “è stato il l’utente Z a fare l’operazione? ” etc..
Una indagine forense digitale è un caso particolare di una indagine digitale in cui le procedure e le tecniche che vengono utilizzate permetteranno di ottenre i risultati che possono essere utilizzati in un dibattimento in tribunale.
Ad esempio , l’indagine può essere avviata per rispondere a una domanda circa l’esistenza o meno di immagini digitali di contrabbando su un computer. Un utente di Microsoft Windows potrebbe essere in grado di rispondere a questa domanda avviando il computer e utilizzando la funzione Trova file , ma questi risultati non sono ammissibili in un procedimento in Tribunale , perché non sono state prese misure per preservare lo stato del computer o non sono stati utilizzati strumenti affidabili (trust).
Il processo di indagine digitale permette di formulare e testare ipotesi circa lo stato di un computer. Bisogan formulare ipotesi , perché non si è in grado di osservare direttamente gli eventi digitali e gli stati del computer, e quindi non si conoscono i fatti.. Bisogna usare gli strumenti per osservare lo stato dei dati digitali , il che vuol dire fare osservazioni indirette . Questo è simile a sentirsi dire di qualcosa , invece di vedere in prima persona.
Nelle indagini digitali , la fiducia si basa sulla fiducia del hardware e del software utilizzato per raccogliere e analizzare i dati. I metodi utilizzati per formulare e verificare le ipotesi possono permettere di formulare una verifica scientifica dell’indagine.
Le Prove digitali sono dati che supportano o confutano una ipotesi che è stata formulata nel corso delle indagini . Si tratta di una nozione generale di prove e può includere dati che non possono essere ammissibile perché non erano correttamente acquisiti legalmente.