Информационно-компьютерная экспертиза - это один из видов компьютерно-технических исследований. Предметом данного анализа являются цифровые данные – то есть информация, содержащаяся в компьютерной системе. В процессе осуществления этой экспертизы специалист ставит перед собой цели поиска, сбора, исследования и экспертной оценки обнаруженной информации. Данная информация была собрана и сохранена пользователем или порождена действиями специального программного обеспечения для сопровождения рабочих процессов в исследуемой компьютерной системе.

Анализ информации позволяет выявить следы работы программ и приложений, определить транзакции, совершенные посредством информационных сетей, а также отследить деятельность и намерения пользователя компьютера на основании сохраненных (или даже удаленных) им файлов в персональном компьютере.

Информационно-компьютерная экспертиза способна решать следующие задачи:

• определение способа форматирования носителя информации и способа записи данных на него;
• выявление специфических характеристик физического размещения информации на исследуемом накопителе данных;
• выявление специфических характеристик логического размещения информации на исследуемом накопителе данных;
• выявление основной атрибутики данных, содержащихся на исследуемом накопителе данных (в данной компьютерной системе) – размеры файлов, общий объем данных, имена и типы файлов, даты их создания и изменения, прочие характеристики;
• определение вида информации, размещенной на исследуемом носителе информации – архив, удаленная, скрытая или явная информация;
• определение типа обнаруженных файлов и программ, с помощью которых они были созданы и могут быть просмотрены или обработаны;
• установление способа организации доступа к имеющимся на носителе данным, а также его характеристик;
• выявление наличия в исследуемой компьютерной системе средств защиты хранящейся информации, а также установление возможных путей взлома данных механизмов;
• выявление наличия в исследуемой компьютерной системе средств защиты от копирования или несанкционированного доступа;
• установление содержания защищенной информации, хранящейся на носителе;
• установление текущего состояния обнаруженных данных, а также определение соответствия этого состояния типовому на соответствующих носителях;
• выявление несоответствий состояния данных и определение их типа – несоответствие формата, нарушение целостности, наличие вредоносных включений и так далее;
• установление предназначения данных и его пользовательских свойств;
• выявление наличия в компьютерной системе данных, предназначенных для решения определенных пользовательских задач;
• поиск данных о собственнике (пользователе) персонального компьютера (компьютерной системы) имеются на представленных для исследования накопителях информации;
• установление совпадений данных в компьютере и в представленных на экспертизу документах;
• установление степени соответствия между предписанными правилами использования компьютерной системы и хронологией предпринятых пользователем действий.

По окончании работы специалист формулирует экспертное заключение. Оно представляет собой результат проделанной исследователем работы, а также основной смысл проведения анализа.