By plik nie mógł być dowodem

Aby zmylić kierunek śledztwa i utrudnić użycie konkretnych plików jako materiału dowodowego, opracowano narzędzie Timestomp, które zmienia metadane pliku, takie jak czas ostatniego dostępu, czas utworzenia - zmodyfikowane metadane będą bezużyteczne dla informatyki śledczej. Oczywiście nadal pozostają informacje w dzienniku NTFS, ale pozyskanie poprawnych metadanych jest trudniejsze.

Nieco innym narzędziem jest Transmogrify, umożliwiając zmianę wewnętrznego opisu typu pliku, by aplikacja lub narzędzia systemu operacyjnego nie mogły znaleźć informacji. Celem ataku jest w tym przypadku aplikacja EnCase analizująca konkretne pliki. Oba narzędzia są utworzone w środowisku Metasploit, stanowiąc część arsenału MAFIA.

Oprócz zmiany zawartości i metadanych niektórzy użytkownicy wykorzystują narzędzia do bezpiecznego usuwania plików i czyszczenia całej zawartości dysków. Chociaż trwa to dość długo, poważnie utrudnia odzyskanie zniszczonej informacji.

Złośliwość w zestawie

Jednym z popularniejszych pakietów do analiz jest COFEE (Computer Online Forensic Evidence Extractor, dostarczany przez Microsoft), zatem szybko powstało narzędzie DECAF, którego zadaniem było utrudnienie pracy specjalistom pobierającym ślady - usuwa ono logi, rozłącza urządzenie USB po wykryciu dołączonego nośnika z pakietem informatyki śledczej, a nawet zostawia na tym nośniku predefiniowaną wiadomość, bywa, że użytkownicy ustawiają tu różne złośliwości. Obecnie DECAF spotyka się rzadko.

Niedobry skrót

Jednym z ciekawych ataków jest naruszanie integralności funkcji skrótu. Gdy specjalista rozpoczyna analizę, wykonuje kopię dysku, by pracować na jego obrazie. Potem następuje obliczenie sumy kontrolnej, która służy do weryfikacji obrazu. Atak polega na tym, że naruszenie integralności sumy kontrolnej stawia pod znakiem zapytania możliwość użycia wyników dalszych badań jako materiału dowodowego w sądzie.