En général, un chercheur en informatique judiciaire vont utiliser un outil en vue de recueillir des données à partir d'un système (par exemple un ordinateur ou un réseau informatique) sans altérer les données sur ce système. Cet aspect de l'enquête, le soin apporté pour éviter d'altérer les données d'origine, est un principe fondamental de l'examen des ordinateurs et quelques-uns des outils disponibles incluent des fonctionnalités spécialement conçues pour respecter ce principe. En réalité, il n'est pas toujours facile de recueillir des données sans altérer le système d'une certaine façon (même l'acte de l'arrêt d'un ordinateur vers le bas afin de transport, elle cause la plus probable des changements aux données sur ce système), mais un enquêteur expérimenté s'efforcera toujours pour protéger l'intégrité des données d'origine si possible. Pour ce faire, les examens médico-légale de nombreux ordinateurs comportent la réalisation d'une copie exacte de toutes les données sur un disque. Cette copie est appelée une image et le processus de fabrication d'une image est souvent désigné comme l'imagerie. C'est cette image qui est habituellement l'objet d'un examen ultérieur.
Un autre concept clé est que les données supprimées, ou des parties de celui-ci, peut être recouvrable. En règle générale, lorsque des données est supprimé, il n'est pas physiquement effacé du système mais plutôt une référence à l'emplacement des données (sur un disque dur ou autre support) est supprimé. Ainsi, les données peuvent encore être présents, mais le système d'exploitation de l'ordinateur n'est plus «sait» à ce sujet. Par l'imagerie et l'examen de toutes les données sur un disque, plutôt que de simplement les parties connues du système d'exploitation, il peut être possible de récupérer les données qui ont été accidentellement ou intentionnellement supprimé.
Bien que la plupart des outils du monde réel sont conçus pour réaliser une tâche spécifique (le marteau pour enfoncer des clous, les tournevis pour tourner une vis, etc), certains outils sont conçus pour être multi-fonctionnels. De même, certains outils d'informatique judiciaire sont conçus avec un seul objectif en tête tandis que d'autres peuvent offrir toute une gamme de fonctionnalités. La nature unique de chaque enquête déterminera quel outil de boîte à outils de l'enquêteur est la plus appropriée pour la tâche à accomplir.
Ainsi que celle de la fonctionnalité et la complexité, les outils informatiques judiciaires diffèrent également des coûts. Certains des produits leader sur le marché commercial coûter des milliers de dollars tandis que d'autres outils sont entièrement gratuits. Encore une fois, la nature de l'examen médico-légal et l'objectif de l'enquête permettra de déterminer les outils les plus appropriés à utiliser.
La collection d'outils à la disposition de l'enquêteur continue à se développer et de nombreux outils sont régulièrement mis à jour par leurs développeurs pour leur permettre de travailler avec les dernières technologies. En outre, certains outils de fournir des fonctionnalités similaires, mais une interface utilisateur différente, tandis que d'autres sont uniques dans l'information qu'ils fournissent à l'examinateur. Dans ce contexte, il est la tâche de l'examinateur en informatique judiciaire pour juger quels sont les outils les plus appropriés pour une enquête, compte tenu de la nature de la preuve qui doit être collecté et le fait qu'il peut à un certain stade, être présenté à un cour de justice. Sans doute, le nombre croissant des deux affaires civiles et criminelles où des outils informatique judiciaire jouent un rôle important en fait un domaine fascinant pour tous ceux qui sont impliqués.