Główną funkcją tej techniki jest przekierowanie cyfrowego procesu kryminalistycznego. Można to z powodzeniem osiągnąć poprzez modyfikację metadanych, techniki anonimowości, takie jak spoofing IP, MAC spoofing, VPN, proxy i zasłanianie śladów dowodów. Cyfrowcy śledczy mogą zostać wprowadzeni w błąd przez atakującego poprzez generowanie fałszywych nagłówków wiadomości e-mail, zmianę dziennika i serwery proxy SMTP. Innym przykładem jest zmiana sygnatury czasowej i modyfikacja nagłówków jako forma zaciemniania szlaku. Główne techniki implementujące zaciemnianie danych / śladów są następujące:
- Oczyszczacze dzienników
- Podszywanie się
- Dezinformacja
- Konta zombie
- Komendy trojańskie
Maskowanie treści ruchu jest pomyślnie wdrażane przy użyciu wirtualnych sieci prywatnych (VPN) i tunelowania SSH. Atak na narzędzia kryminalistyczne Atakujący wprowadza modyfikacje do maszyny docelowej Badacza, tak aby dostarczały one niewłaściwych dowodów. Obejmuje to ataki typu rootkit, zmianę sygnatur plików i wykorzystywanie luk w algorytmach haszujących do tworzenia kolizji hash. Czas i koszt analizy i cyfrowego dochodzenia to kluczowe cechy organizacji. Jeśli atakujący jest w stanie kontrolować te ograniczenia, śledczy będą zmuszeni przerwać procedury kryminalistyczne. Wykorzystanie przez atakującego systemu pośredniczącego utrudnia dochodzenie, ponieważ wymaga współpracy różnych administratorów systemu, jest przykładem tej techniki ataku antykryminalistycznego. Rozwój narzędzi unikania dysku uniemożliwia narzędziom śledczym wykrycie działań napastnika poprzez bezpośredni dostęp do pamięci