Ukrywanie danych jest jedną z najbardziej tradycyjnych i skutecznych technik antyforensycznych. Wstawianie danych w różne miejsca, w których nie powinno ich być lub w plikach metadanych, nazywane jest ukrywaniem danych. Dane lub informacje mogą być przechowywane w wolnych przestrzeniach, rozproszonych po całej pamięci i pustych przestrzeniach w sektorach dyskowych [46,47]. Ale w dużej mierze opiera się na zastosowanych narzędziach kryminalistycznych i braku zdolności badacza do znalezienia ukrytych danych, które są poza normalną widocznością jako główny czynnik. Zmiana nazwy pliku jest jednym z przykładów obciążania danych przez ukrywanie. Szyfrowanie, znak wodny, ukryte kanały [10] i steganografia to główne techniki stosowane do ukrywania ruchu sieciowego i danych. Należy zapewnić, aby dane lub informacje nie zostały utracone podczas szyfrowania i korzystania z ukrytych kanałów. Technikę tę można wykorzystać zarówno do celów konstruktywnych, jak i destrukcyjnych. Dane są ukryte w częściach nośnika, które są poza określonym formatem tego nośnika, takich jak wolne miejsce na końcu partycji i fałszywe uszkodzone sektory. Dane ukryte w tych obszarach są trudne do wykrycia, ponieważ wymagają specjalnych narzędzi. Ale bardzo trudno jest ukryć się przed normalną analizą. Innym sposobem jest ukrycie danych w określonym formacie nośnika, a dane nie powinny mieć innego formatu niż nośnik. Opiera się głównie na bezpieczeństwie poprzez zaciemnienie, ponieważ łatwo jest go odkryć, gdy znana jest metoda. Innymi formami ukrywania danych są wirusy ukrywające się w sekcji kodu exe oraz teksty ukryte w steganografii [48]. Jest bardzo trudny do wykrycia bez specjalnych narzędzi i ma złożone algorytmy, szczególnie w steganografii. Ukrywanie informacji w pustych nagłówkach pakietów warstwy sieciowej i transportowej jest trudne do prześledzenia. Obszary na dysku twardym, do których dostęp jest ograniczony, są uważane za wolne miejsce. Niewykorzystane miejsce sektora w pamięci RAM, które nie może być adresowane przez system operacyjny, jest znane jako wolne miejsce w pamięci RAM [46]. Ponieważ pliki na dysku twardym nie kończą się w ostatnim sektorze bloku, co prowadzi do zwolnienia miejsca w kolejnym sektorze, wolumen wolnego miejsca można zdefiniować jako niewykorzystaną przestrzeń między końcem systemu plików a końcem partycja, na której znajduje się plik. Sfałszowane złe klastry mogą również służyć do ukrywania danych. System plików NTFS identyfikuje uszkodzone klastry ($ BadClus), w których występują defekty, za pomocą głównej tabeli plików (MAT). Gdy niektóre klastry zostaną oznaczone jako złe klastry, można ich użyć do ukrycia danych o nieograniczonym rozmiarze. Narzędzia takie jak bmap i Slacker z Metasploit mogą być używane do ukrywania danych w wolnych przestrzeniach.