Il motivo per cui DBAN o tale software di cancellazione, non batterebbero gli investigatori, è che quando scoprono che un disco è cancellato (zero: ed), questo conterà come distruzione delle prove, che è punibile.
Quindi è sufficiente che gli investigatori dimostrino che l'unità è stata intenzionalmente cancellata. Dipende dal paese, ma nella maggior parte dei paesi che impiegano il programma "frutto proibito", rendono anche illegale distruggere prove, anche prove "proprie".
Nei paesi che impiegano una politica di "uso di prove gratuite" in tribunale, di norma è legale che il sospetto cancelli le proprie prove (spetta alla polizia raccogliere le prove prima che vengano cancellate), per bilanciare tutto, ma in quei paesi, il disco cancellato è lo stesso di qualcuno che mette una lettera nel caminetto, ad esempio qualcosa che di solito non riesce a fare notizia.
E possono scoprire se un dispositivo viene utilizzato dopo che è stato tolto dalla confezione nuova, in quanto vi è un registro nel disco, normalmente chiamato SMART, che registrerà diversi caratteri del disco, come ore di accensione e altri metadati simili, quindi un investigatore può vedere in modo critico quanto è stato usato un disco, il che significa che un investigatore può vedere se un disco è solo zeri perché è scompattato ma non ancora usato, e un disco che è zero perché è stato cancellato intenzionalmente .
E anche se quel registro viene cancellato tramite i comandi del firmware (potrebbe non essere sempre possibile), è possibile che un investigatore guardi l'usura del chip flash in cui sono memorizzati i dati SMART e vede che il contenuto del chip flash è alterato, poiché un disco inutilizzato avrà una tabella SMART zero con un'usura pari a zero.
Quindi, una crittografia significa che l'investigatore è bloccato, in quanto è lo stesso di nascondere le prove, che non è illegale. Nel mondo della vita reale, nascondere le prove potrebbe essere prendere quel coltello assassino e mettere sotto le assi del pavimento. Anche se gli investigatori non lo troveranno, non potranno convincerti. Tuttavia, se metti quel coltello nel camino, gli investigatori possono usare il coltello bruciato come prova del fatto che hai distrutto le prove, e quindi riceverai comunque la punizione.
Dimenticare una password non conta come prova distruttiva.
Quindi, in realtà, cancellare il disco crittografandolo con una password casuale, è più sicuro, che cancellarlo con DBAN, quando si tratta di problemi legali. Lo stesso con DBANing di un disco e NON esegue un azzeramento finale. Ma un disco completamente casuale può anche essere preso come prova distrutta, perché può essere una buona idea mettere un vero caricatore di avvio di TrueCrypt o un boot loader da qualche altro software di crittografia, per dare una ragione plausibile al motivo per cui i dati sono casuali, quando si ha cancellato.