Arvutikuritegude uurimise eesmärk on määrata kindlaks kuriteo olemus ja koguda tõendeid, mis viivad süüdimõistva kohtuotsuseni. Selle käigus võivad uurijad avastada teavet, mida nad saavad kasutada sarnaste kuritegude ennustamiseks ja ennetamiseks tulevikus. Näiteks võivad nad märgata lünka programmis, mis võimaldab sissetungimist, ja võtta ühendust tootjaga, et soovitada probleemi lahendamiseks plaastrit. Selliseks tööks on vajalik infotehnoloogiaalane koolitus, samuti kogemus tõendite kogumisel ja käsitlemisel, et vähendada riski koguda teavet, mida ei saa legaalselt kasutada.
Protsess algab siis, kui keegi helistab, et teatada kuriteost või kui järelevalveasutus avastab kuriteo tõendeid. Uurimisrühmad peavad turvama arvutid, võrgud ja komponendid, mis võivad olla juhtumiga seotud. See võib hõlmata selliseid asju nagu finantsvõrgud, mis on seotud pettusega seotud omastamisega, või arvutivõrgud, mille sihtmärgiks on pahatahtlikud häkkimised, mille eesmärk on andmeid paljastada ja kahjustada. Arvutikuritegude uurimine võib osutuda keeruliseks, kuna tõendid on lühiajalised, mistõttu on enne uurimise alustamist väga oluline saada arvutid turvaliselt ja kontrolli alla.
Uurijad võivad süsteemi kloonida, et seda uurida ilma originaali kahjustamata. Arvutikuritegevuse uurimine võib hõlmata arvutisüsteemi üksikasjalikku auditit, et otsida pahatahtlikku koodi, turvalünki ja muid probleeme. Uurijad võivad otsida kompromiteerivaid faile ja programme, sealhulgas materjali, mida inimesed on püüdnud kustutada, muuta või varjata. Uurimise spetsiifika oleneb uuritava kuriteo liigist. Näiteks häkkimise puhul peavad arvutikuritegude uurimised avastama tõendeid sissetungimise kohta ja siduma need allikaga.
Tõendite ahela säilitamine arvutikuritegevuse uurimisega on keeruline. Uurijad peavad hoolikalt dokumenteerima kõik, mida nad teevad, ning võivad oma tegevuse jälgimiseks videosse salvestada, klahvivajutused salvestada ja võtta muid meetmeid. Kui tõendid vaidlustatakse kohtus, peab meeskond suutma tõestada, et tõendid on originaalsed, ilma muudatusteta, mis võiksid kahjustada nende kehtivust. Selle valdkonna liikmed vaatavad pidevalt läbi ja ajakohastavad tõendite juhiseid, et pidada sammu arvutikuritegude uurimisega ja kehtestada uurijatele standardid, mida nad peavad järgima kõikjal, kus nad töötavad.
Kui tõendid on täielikult kogutud ja kataloogitud, võib töörühm jätta konfiskeeritud seadmed alles, kuni asi kohtusse jõuab ja seda arutatakse. See tagab neile juurdepääsu võimaluse, kui nad seda prooviperioodi ajal vajavad. Vastasel juhul võidakse arvutid ja muud seadmed omanikele tagasi anda, mis võib lõpuks kahjustada ülejäänud tõendeid.