E-discovery, ook wel eDiscovery of electronic discovery genoemd, heeft een grote overlap met  (forensisch) digitaal onderzoek. Het grootste verschil tussen forensisch digitaal onderzoek en E-discovery zit hem wat ons betreft vooral in welk type data wordt onderzocht.

Bij E-discovery worden voornamelijk nog aanwezige gebruikers-bestanden onderzocht.
Bij forensisch digitaal onderzoek wordt daarnaast ook nog gekeken naar de zogenaamde file-slack, register-bestanden, informatie in bijvoorbeeld de pagefile.sys en diverse systeembestanden en natuurlijk in de Unallocated Clusters (de “lege” diskruimte).Laptop with a magnify glass

In het overgrote deel van de digitale onderzoeken, wordt bewijs gevonden in de aanwezige bestanden zoals email (Microsoft Exchange, Outlook, Outlook Express enz.),
tijdelijke internetbestanden, PDF-bestanden en MS Word en Excel bestanden.
Meestal is het niet nodig om dieper onderzoek in te stellen en kunnen zaken “rond” gemaakt worden met de informatie in de gebruikersbestanden op de computer(s) van de verdachte c.q. beslagene.

Software voor E-discovery is over het algemeen veel eenvoudiger in gebruik dan de gangbare forenische onderzoeks-software zoals Encase of Forensic Toolkit (FTK).
E-discovery software is over het algemeen een stuk intuïtiever en behoeven veel minder inhoudelijke ICT-kennis. Hierdoor kunnen de meeste mensen vrij snel onderzoek doen in digitale omgevingen.

Hoewel middels een programma als Encase diepgaander onderzoek gedaan kan worden, kan middels E-discovery software ontzettend veel informatie worden ontsloten. Te denken valt aan meta-data, bestandsdatums en -tijdstippen, email-adressen, ip-adressen enzovoort. Informatie die normaal gesproken slechts te vinden is door mappen en bestanden te openen en eventueel in de eigenschappen van deze bestanden of in de header-informatie van emailberichten te kijken.

E-discovery software maakt het door middel van eenvoudige zoekopdrachten en enkele muisklikken voor u inzichtelijk.

Bij voorkeur wordt de informatie ook nog op een visuele manier aan u getoond, waarbij u in één oogopslag verbanden tussen verschillende bestanden ziet.

De zoekwoorden “Data Recovery”, Politie en “Digitaal Onderzoek” worden in een clustermap van Intella software duidelijke weergegeven. Ook hun onderlinge samenhang ziet u in één oogopslag.

Door te klikken op één van de ballen, krijgt u binnen de software alle bestanden te zien waarin één van de zoekwoorden, een combinatie van 2 zoekwoorden of een combinatie van alledrie de zoekwoorden voorkomen. (Afhankelijk van welke bal u aanklikt.)

Intella heeft krachtige zoekmogelijkheden, waarmee ook woorden kunnen worden uitgesloten of waarmee alleen binnen een bepaalde mapstructuur gekeken wordt.