Расследование следов преступлений в сфере высоких технологий предполагает поиск доказательств противоправных цифровых действий пользователя в информационной системе. В качестве объектов исследования для формирования доказательной базы, используются всевозможные устройства способные хранить в себе цифровую информацию. В данной статье рассмотрены различные программные, аппаратные и аппаратно-программные комплексы, используемые органами внутренних дел и другими организациями для расследования преступлений в области информационных технологий. Кроме того, показаны способы получения информации с накопителей на жестких магнитных дисках, SSD и мобильных устройств. В дополнение к стандартным способам и методам получения цифровых следов, в качестве полезного источника дополнительной информации указывается на образ оперативной памяти вычислительной системы. В ходе исследований выявлена возможность получения из оперативной памяти следующей информации: перечень запущенных процессов; сведения о сетевых соединениях; пароли для доступа к файлам; расшифрованные файлы, находящиеся в зашифрованном виде в файловой системе; ключи шифрования; буфер обмена; переписку пользователя; вредоносный код. Применение описанной в статье информации позволит как эффективно защищать данные от злоумышленников, так и проводить доказательную базу и поиск доказательств осуществления незаконной деятельности.