• 我们在哪一颗星上见过 ,以至如此相互思念 ;我们在哪一颗星上相互思念过,以至如此相互深爱
  • 我们在哪一颗星上分别 ,以至如此相互辉映 ;我们在哪一颗星上入睡 ,以至如此唤醒黎明
  • 认识世界 克服困难 洞悉所有 贴近生活 寻找珍爱 感受彼此

红:反取证

红蓝对抗 云涯 2年前 (2023-03-08) 1787次浏览

概述

定义:普渡大的马克·罗杰斯(Marc Rogers)定义:[任何]企图对犯罪证据的有量、生不利影,或使证据以/法分析[的行]

分类:马库斯·罗杰斯所立的分较为人接受的一,他把反取证方法分成五数据隐藏(data hiding)、痕迹抹除(artifact wiping)、踪迹混淆(trail obfuscation)、攻击取证过程和取证工具、物理方法

反取证案例:

https://asec.ahnlab.com/ko/47820/

数据隐藏

数据隐英语Data hiding是指让数据难以找到之,又持其可得性的程。“数据模糊化英语Obfuscation]]加密对抗者可以限制调查人员所识别和收集到的证据,同时令自身能接触和使用。

分类:加密、隐写术、其他工具或方法

痕迹抹除

痕迹抹除是指任何永久清除特定文件或整文件系的方法。

除功能一般只是把被除的标记为可以覆并没有把它从储置中除。故此抗者以抹除手段使之从储置中。这可以透各种方法来实现,比如磁盘抹除工具、文件抹除工具、磁盘消磁/破坏

磁盘抹除工具一些认为不是很有效。因国国防部的政策,唯一可以接受的磁盘抹除方法就只有消磁。此外磁性记录研究中心的安全擦除方案也是较为有效的手段。它已得到美国标准研究所国家安全局

文件抹除工具能把系统内除。硬碟抹除相比,案抹除所花的时间显较少,而且只会产生小量的痕。其有两个主要缺,第一就是它需要用户发起,第二就是些程式可能有完全案的元信息。

磁盘消磁/破坏指的是往数码体装置施加磁程。能使得此前于装的全部数据皆被清除。由消磁需花费当事人一定用才能得到,故这种反取证方法相对较用。

踪迹混淆

踪迹混淆的目的在于蒙骗和迷惑鉴证/工具,或移其焦。能够达踪迹混淆效果的工具和技巧有“记录消除器、欺骗错误资讯、骨僵尸账号、木指令”等

Timestomp一款著名的踪迹混淆工具,它能修改跟存取、建立、修改时间元数据

Transmogrify是另一款用的踪迹混淆。大多文件的表包含了识别资讯,比方.jpg即表示jpg.doc表示doc。Transmogrify使得用修改案的表头资讯,比如可由.jpg表修改成.doc表,令像格式的取证工具不把它视为图像,而跳过。

攻击电脑取证过程和取证工具

去的反取证工具大多破坏数据、隐藏数据、改变数据元信息这几个范畴。不过后来的反取证工具和技术重点则转移到攻击取证工具本身。有好几个因素这种趋势的出:取证程序人熟知、广为人知的取证工具漏洞、电脑取证员对工具的依赖。

取证在典型的取证过程中建立映像副本,以避免取证工具影电脑证据)本身。定映像的完整性,取证检验软件一般会产码杂凑是攻击者便作了使证据本身受到疑的反取证工具,它们会修改映像的密码杂凑数。

物理方法

以下方法可阻止取证实体接触数据

  • 像USBGuard和USBKill般的件会用USB认证策略。一旦接的USB设备不符合件,它便会开行特定操作。在的管理斯·布利希被捕开发便针对他的被捕情开发出一些反取证工具。它够检测电脑是否被走。若是,便动关机。因此若电脑经过加密,鉴证便以取得于内数据
  • 不少置皆肯辛顿锁孔,可以以其阻止他人置。
  • 也可利用电脑机箱的入侵探测功能或传感器(比如光感来进行反取证——使之一旦符合特定的物理件,便会点上的炸整台电脑。在部分司法域,此一方法法律不容,因它可能害未的用证据本身
  • 可拆下手提电脑池,使之只能在接到时运作。一旦切断源,其便会关机,造成数据丢失。

取证可能会实冷启动攻击,以关机后随机存取内存中保留几秒钟到几分钟的可读内对随机存取内存进行低温冻结可一步使保留时间。在关机前覆写内存可以这种取证手段;一些反取证工具甚至检测RAM的温度,当温度低于某个阈值时,就会关掉电脑


云涯历险记 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:红:反取证
喜欢 (0)