4. Опитайте підозрюваних і свідків, для чого використовувався комп’ютер, чи застосовувалися паролі і які саме, де були придбані захисні програми. Необхідно визначити, чи є контракт на технічне обслуговування комп’ютерного обладнання, з ким він укладений, чи були збої під час експлуатації техніки та які саме.

5. Якнайшвидше передайте усе вилучене у розпорядження експерта або фахівця для подальшого вивчення.

Дослідження, аналіз і оцінка вилученої комп’ютерної інформації. Оскільки результати комп’ютерно-технічної експертизи, особливо експертизи програмного забезпечення безпосередньо залежать від зберігання інформації на внутрішніх і зовнішніх магнітних носіях, необхідно при вилученні об’єктів дотримуватися правил, які були зазначені вище.

Під час розслідування злочинів, які пов’язані з комп’ютерами та комп’ютерними системами, найважливішим є уникати дій, які можуть пошкодити чи змінити наявну інформацію, у той чи інший спосіб змінити цілісність вилучених даних. Використання відпрацьованих і перевірених процедур і методик зменшує, але повністю не виключає такої можливості. У ряді випадків неминуче окремі дані системи будуть змінені чи переписані у ході проведення досліджень системи, наприклад, зміна тимчасових файлів, поява змін при закритті програм-додатків, на бітовому рівні можуть бути внесені зміни у парольний захист. Особи, які досліджують комп’ютерну систему, повинні чітко уявляти всі побічні негативні наслідки проведених з системою операцій і ретельно фіксувати кожен свій крок дослідження, щоб бути готовими в майбутньому пояснити, чому і які зміни відбулися в системі.

Комп’ютери та їх комплектуючі опечатують шляхом наклеювання на місця з’єднань аркушів паперу із закріпленням їхніх країв на бокових стінках комп’ютера густим клеєм або клейкою стрічкою, щоб виключити роботу з ними за відсутності власника або експерта. Магнітні носії упаковують і транспортують у спеціальних екранованих контейнерах або у стандартних дискетних чи інших алюмінієвих футлярах заводського виробництва, які виключають шкідливий вплив електромагнітних і магнітних полів, спрямованих випромінювань. Опечатують тільки контейнери або футляри. Пояснювальні написи можна наносити тільки на самоклейні етикетки для дискет, причому спочатку робиться запис, а потім етикетка наклеюється на призначене для неї місце на дискеті. Якщо на дискеті вже є етикетка з якимось написом, проставляється тільки порядковий номер, а пояснювальні написи під цим номером робляться на окремому аркуші, який вкладається в коробку. Неприпустимо наклеювати будь-що безпосередньо на магнітний носій, пропускати через нього нитку, пробивати отвори, робити написи, помітки, ставити печатки тощо.

У постанові про призначення експертизи зазначають серійний номер комп’ютера та його індивідуальні ознаки (конфігурація, колір, написи на корпусі).

Повинно стати нормою в слідчій та експертній практиці робити повну копію досліджуваної системи і всі дослідження проводити з копією, а не з самим оригіналом. Як правило, такий шлях можливий у будь-якому випадку. З точки зору дослідника, дані, що існують у системі, можна поділити на три великі категорії. Перша категорія — це дані, які існують на файловому рівні, друга — це дані, що були знищені, але є можливість їх відновлення на файловому рівні, третя — це окремі частини даних, які раніше були частинами окремих файлів і які вже неможливо відновити на рівні файлу.

Здійснення досліджень з цих питань — процес, який коштує великих грошей та потребує значних затрат часу. Неможливо перелічити всі методи, обладнання та програмне забезпечення, які використовуються для аналізу електронної інформації. Можна лише зазначити, що для цієї мети застосовують як загальнодоступні програмні засоби, так і спеціально розроблені програми для правоохоронних органів та експертних лабораторій. Вилучений матеріал вивчають, як правило, у спеціалізованих підрозділах, органах судової експертизи, спеціалізованих приватних компаніях, науково-дослідних установах, дослідних центрах.

Під час розслідування можливі випадки, коли слідчий чітко знає, який доказ він бажає знайти в комп’ютерній системі — конкретний документ чи угоду. У цьому разі завдання полегшується, і потрібно тільки встановити місцезнаходження цієї інформації в системі. Але ситуація різко змінюється, коли конкретно невідомо, яка інформація може становити інтерес для слідства. За цих умов особа, що веде розслідування, вимушена за допомогою експерта ознайомитися з усіма вилученими матеріалами. Сам експерт не може виконати цю роботу, оскільки не знає усіх обставин справи і не може оцінити доказову силу тієї чи іншої інформації.