概述

定义：普渡大学的马克·罗杰斯（Marc Rogers）定义：“[任何]企图对犯罪证据的有没、数量、质量产生不利影响，或使证据难以／无法分析[的行动]”

分类：马库斯·罗杰斯所创立的分类是当中较为人接受的一个，他把反取证方法分成五类：数据隐藏（data hiding）、痕迹抹除（artifact wiping）、踪迹混淆（trail obfuscation）、攻击取证过程和取证工具、物理方法

反取证案例：

https://asec.ahnlab.com/ko/47820/

数据隐藏

数据隐藏（英语：Data hiding）是指让数据难以找到之余，又维持其可获得性的过程。“数据模糊化（英语：Obfuscation]]）和加密让对抗者可以限制调查人员所识别和收集到的证据，同时令自身能够接触和使用。

分类：加密、隐写术、其他工具或方法

痕迹抹除是指任何永久清除特定文件或整个文件系统的方法。

系统的删除功能一般只是把被删除的档案标记为可以覆写，并没有把它从储存装置中删除。故此对抗者会以抹除手段使之从储存装置中彻底删除。这点可以透过各种方法来实现，比如磁盘抹除工具、文件抹除工具、磁盘消磁/破坏。

磁盘抹除工具一些专家认为它们不是很有效。因为根据美国国防部的政策，唯一可以接受的磁盘抹除方法就只有消磁。此外磁性记录研究中心的安全擦除方案也是较为有效的手段。它已得到美国国家标准技术研究所和国家安全局承认。

文件抹除工具能把系统内的独立档案删除。与硬碟抹除相比，档案抹除所花的时间明显较少，而且只会产生小量的痕迹。其有两个主要缺点，第一就是它需要用户发起，第二就是该些程式可能没有完全删除档案的元信息。

磁盘消磁/破坏指的是往数码媒体装置施加磁场的过程。这能使得此前储存于装置内的全部数据皆被清除。由于消磁机需花费当事人一定费用才能得到，故这种反取证方法相对较少应用。

踪迹混淆的目的在于蒙骗和迷惑鉴证人员/工具，或转移其焦点。能够达至踪迹混淆效果的工具和技巧有“记录消除器、欺骗、错误资讯、骨干跳跃、僵尸账号、木马指令”等

Timestomp为一款著名的踪迹混淆工具，它能够修改跟存取、建立、修改时间有关的档案元数据。

Transmogrify是另一款较常应用的踪迹混淆软件。大多文件的表头包含了识别资讯，比方说.jpg即表示档案为jpg档，.doc则表示档案为doc档。Transmogrify使得用户能够修改档案的表头资讯，比如可由.jpg表头修改成.doc表头，令锁定图像格式的取证工具不把它视为图像，继而跳过。

过去的反取证工具大多侧重于破坏数据、隐藏数据、改变数据元信息这几个范畴。不过后来的反取证工具和技术重点则转移到攻击取证工具本身。有好几个因素导致这种趋势的出现：取证程序开始为人熟知、广为人知的取证工具漏洞、电脑取证人员对工具的依赖。

取证人员在典型的取证过程中会建立映像副本，以避免取证工具影响原电脑（证据）本身。为了确定映像的完整性，取证检验软件一般会产生密码杂凑函数。于是攻击者便制作了使证据本身受到质疑的反取证工具，它们会修改映像的密码杂凑函数。

以下方法可阻止取证实体接触数据：

像USBGuard和USBKill般的软件会采用USB认证策略。一旦连接的USB设备不符合条件，它便会开始执行特定操作。在丝路的管理员罗斯·乌布利希被捕后，开发者们便针对他的被捕情况，开发出一些反取证工具。它们能够检测电脑是否被夺走。若是，便会自动关机。因此若电脑经过全盘加密，鉴证人员便难以取得储存于内的数据。
不少装置皆设有肯辛顿锁孔，可以以其阻止他人抢走装置。
也可利用电脑机箱的入侵探测功能或传感器（比如光感测器）来进行反取证——使之一旦符合特定的物理条件，便会点燃预先装上的炸药，炸毁整台电脑。在部分司法区域，此一方法为法律不容，因为它可能伤害未经授权的用户，并破坏了证据本身。
可拆下手提电脑的电池，使之只能在连接到电源时运作。一旦切断电源，其便会关机，造成数据丢失。

取证人员可能会实施冷启动攻击，以检索关机后在随机存取内存中保留几秒钟到几分钟的可读内容。对随机存取内存进行低温冻结可进一步使保留时间延长。在关机前覆写内存可以对抗这种取证手段；一些反取证工具甚至会检测RAM的温度，当温度低于某个阈值时，就会关掉电脑。