反計算機取證

 https://en.wikipedia.org/wiki/Anti-computer_forensics

反計算機取證或反取證是用於阻礙取證分析的技術。

定義[編輯]

反取證學直到最近才被認為是一個合法的研究領域。

一個更廣為人知和接受的定義來自 Marc Rogers 的反取證最早的詳細介紹之一，在2002 年的Phrack 雜誌中，將反取證定義為“移除或隱藏證據以試圖減輕取證調查的有效性"。^[1]

Scott Berinato 在他題為“反取證的興起”的文章中給出了一個更簡短的定義。“反取證不僅僅是技術。它是一種對付犯罪黑客的方法，可以這樣總結：讓他們很難找到你，也無法證明他們找到了你。” ^[2]兩位作者都沒有考慮使用反取證方法來確保個人數據的隱私。

子類別[編輯]

反取證方法通常分為幾個子類別，以簡化各種工具和技術的分類。Marcus Rogers 博士開發了一種更廣泛接受的子類別細分。他提出了以下子類別：數據隱藏、工件擦除、踪跡混淆以及針對 CF（計算機取證）流程和工具的攻擊。^[3]直接針對取證工具的攻擊也被稱為反取證。^[4]

目的和目標[編輯]

在數字取證領域內，關於反取證方法的目的和目標存在很多爭論。傳統觀點認為，反取證工具在意圖和設計上純粹是惡意的。其他人認為，這些工具應該用來說明數字取證程序、數字取證工具和取證檢驗員教育方面的不足。反取證工具作者 James Foster 和 Vinnie Liu 在 2005 年的黑帽會議上表達了這種觀點。^[5]他們表示，通過揭露這些問題，法醫調查人員將不得不更加努力地證明收集到的證據既準確又可靠。他們相信這將為法醫檢查員帶來更好的工具和教育。此外，反取證對於防禦間諜活動也具有重要意義，因為通過取證工具恢復信息同樣有助於間諜和調查人員的目標。

數據隱藏[編輯]

數據隱藏是使數據難以查找，同時保持其可訪問性以供將來使用的過程。“數據的混淆和加密使對手能夠限制調查人員的身份識別和證據收集，同時允許他們自己訪問和使用。” ^[6]

一些更常見的數據隱藏形式包括加密、隱寫術和其他各種形式的基於硬件/軟件的數據隱藏。每種不同的數據隱藏方法都使數字取證檢查變得困難。當不同的數據隱藏方法結合使用時，它們幾乎不可能成功進行取證調查。

加密[編輯]

擊敗計算機取證的一種更常用的技術是數據加密。在關於加密和反取證方法的演講中，安全計算副總裁保羅·亨利 (Paul Henry) 將加密稱為“取證專家的噩夢”。^[7]

大多數公開可用的加密程序允許用戶創建只能使用指定密鑰打開的虛擬加密磁盤。通過使用現代加密算法和各種加密技術，如果沒有指定的密鑰，這些程序幾乎無法讀取數據。

文件級加密僅加密文件內容。這使得文件名、大小和時間戳等重要信息未加密。文件的部分內容可以從其他位置重建，例如臨時文件、交換文件和已刪除的未加密副本。

大多數加密程序都能夠執行許多附加功能，這些功能使數字取證工作變得越來越困難。其中一些功能包括使用密鑰文件、全卷加密和似是而非的否認。包含這些功能的軟件的廣泛使用使數字取證領域處於極大的劣勢。

隱寫術[編輯]

隱寫術是一種將信息或文件隱藏在另一個文件中的技術，目的是通過將數據暴露在眾目睽睽之下來隱藏數據。“隱寫術產生通常隱藏在光數據中的暗數據（例如，隱藏在數字照片中的不可察覺的數字水印）。” ^[8]雖然一些專家認為隱寫術技術的使用不是很普遍，因此不應過多考慮該主題，但大多數專家認為，如果使用得當，隱寫術具有破壞取證過程的能力。^[2]

根據 Jeffrey Carr 的說法，2007 年版的 Technical Mujahid（恐怖分子雙月刊）概述了使用名為“聖戰者的秘密”的隱寫術程序的重要性。根據 Carr 的說法，該程序被吹捧為讓用戶能夠避免被當前的隱寫分析程序檢測到。它通過結合使用隱寫術和文件壓縮來做到這一點。^[9]

其他形式的數據隱藏[編輯]

其他形式的數據隱藏涉及使用工具和技術來隱藏計算機系統中各個位置的數據。其中一些地方可能包括“內存、閒置空間、隱藏目錄、壞塊、備用數據流、（和）隱藏分區”。^[3]

經常用於數據隱藏的一種更廣為人知的工具稱為 Slacker（Metasploit框架的一部分）。^[10] Slacker 分解文件並將該文件的每個部分放入其他文件的鬆弛空間中，從而將其隱藏在法醫檢查軟件之外。^[8]另一種數據隱藏技術涉及壞扇區的使用。要執行此技術，用戶將特定扇區從好更改為壞，然後將數據放置到該特定群集上。人們相信，取證檢查工具會將這些集群視為不良集群，並在不對其內容進行任何檢查的情況下繼續運行。^[8]

工件擦除[編輯]

另請參閱：數據擦除

工件擦除中使用的方法的任務是永久刪除特定文件或整個文件系統。這可以通過使用多種方法來實現，包括磁盤清理實用程序、文件擦除實用程序和磁盤消磁/銷毀技術。^[3]

磁盤清理實用程序[編輯]

磁盤清理實用程序使用多種方法覆蓋磁盤上的現有數據（請參閱數據剩餘）。磁盤清理實用程序作為反取證工具的有效性經常受到質疑，因為有人認為它們並不完全有效。不認為磁盤清理實用程序可用於磁盤清理的專家基於他們對當前 DOD 政策的看法，該政策指出唯一可接受的清理形式是消磁。（請參閱國家工業安全計劃。）磁盤清理實用程序也受到批評，因為它們會留下文件系統已被擦除的簽名，這在某些情況下是不可接受的。一些廣泛使用的磁盤清理實用程序包括DBAN、srm、BCWipe Total WipeOut、KillDisk、PC Inspector 和 Cyber​​Scrubs cyberCide。NIST和NSA批准的另一個選項是 CMRR 安全擦除，它使用ATA規範中內置的安全擦除命令。

文件擦除實用程序[編輯]

文件擦除實用程序用於從操作系統中刪除單個文件。文件擦除實用程序的優勢在於它們可以在相對較短的時間內完成任務，而磁盤清理實用程序則需要更長的時間。文件擦除實用程序的另一個優點是它們通常留下比磁盤清理實用程序小得多的簽名。文件擦除實用程序有兩個主要缺點，首先，它們需要用戶參與該過程，其次，一些專家認為文件擦除程序並不總是正確和完全擦除文件信息。^[11] [12]一些廣泛使用的文件擦除實用程序包括BCWipe、R-Wipe & Clean、Eraser、Aevita Wipe & Delete 和 Cyber​​Scrubs PrivacySuite。在 Linux 上， shred和srm等工具也可用於擦除單個文件。^[13] [14] SSD 在設計上更難擦除，因為固件可以寫入其他單元，因此允許數據恢復。在這些情況下，應在整個驅動器上使用 ATA 安全擦除，並使用支持它的hdparm等工具。^[15]

磁盤消磁/銷毀技術[編輯]

磁盤消磁是將磁場應用於數字媒體設備的過程。結果是設備完全清除了之前存儲的任何數據。消磁很少用作反取證方法，儘管它是確保數據已被擦除的有效手段。這歸因於消磁機的高成本，普通消費者難以負擔。

一種更常用的確保數據擦除的技術是設備的物理破壞。NIST建議“物理破壞可以使用多種方法完成，包括分解、焚燒、粉碎、粉碎和熔化。” ^[16]

踪跡混淆[編輯]

踪跡混淆的目的是混淆、迷惑和轉移法醫檢查過程。Trail 混淆涵蓋了多種技術和工具，包括“日誌清理器、欺騙、錯誤信息、主幹跳躍、殭屍帳戶、特洛伊木馬命令”。^[3]

更廣為人知的跟踪混淆工具之一是 Timestomp（Metasploit Framework的一部分）。^[10] Timestomp 使用戶能夠修改與訪問、創建和修改時間/日期有關的文件元數據。^[2]通過使用諸如 Timestomp 之類的程序，用戶可以通過直接質疑文件的可信度來使任意數量的文件在合法環境中變得無用。^{[需要引用]}

另一個著名的跟踪混淆程序是 Transmogrify（也是 Metasploit 框架的一部分）。^[10]在大多數文件類型中，文件的標題包含識別信息。A (.jpg) 將具有將其標識為 ( .jpg ) 的標頭信息，( .doc ) 將具有將其標識為 (.doc) 的信息，依此類推。Transmogrify 允許用戶更改文件的標題信息，因此 (.jpg) 標題可以更改為 (.doc) 標題。如果法醫檢查程序或操作系統要在機器上搜索圖像，它只會看到一個 (.doc) 文件並跳過它。^[2]

對計算機取證的攻擊[編輯]

過去，反取證工具側重於通過破壞數據、隱藏數據或更改數據使用信息來攻擊取證過程。反取證最近進入了一個新領域，其中工具和技術專注於攻擊執行檢查的取證工具。這些新的反取證方法受益於許多因素，包括記錄良好的取證檢查程序、廣為人知的取證工具漏洞以及數字取證檢查員對其工具的嚴重依賴。^[3]

在典型的取證檢查期間，檢查員會創建計算機磁盤的圖像。這可以防止原始計算機（證據）被取證工具污染。哈希值由取證檢查軟件創建，用於驗證圖像的完整性。最近的一種反工具技術針對的是為驗證圖像而創建的哈希的完整性。通過影響散列的完整性，可以質疑在後續調查期間收集的任何證據。^[3]

物理[編輯]

為了防止在計算機開機時對數據進行物理訪問（例如，從搶走盜竊，以及執法部門扣押），可以實施不同的解決方案：

• USBGuard 或USBKill等軟件框架實施 USB 授權策略和使用方法策略。如果通過插入或移除 USB 設備觸發軟件，則可以執行特定操作。^[17]在Silk Road的管理員Ross Ulbricht被捕後，已經創建了許多概念證明反取證工具來檢測從所有者手中奪取計算機以將其關閉，因此如果磁盤已滿則無法訪問數據使用加密。^[18] [19]
• 使用Kensington 安全槽的硬件電纜錨可防止機會主義小偷偷竊。
• 硬件終止電纜，如BusKill，在彈出時鎖定、關閉或擦除數據
• 在計算機機箱中使用底盤入侵檢測功能或裝有炸藥的傳感器（例如光電探測器）進行自毀。在某些司法管轄區，這種方法可能是非法的，因為它可能會嚴重傷害或殺死未經授權的用戶，並且可能會破壞證據。^[20]
• 可以從膝上型電腦上取下電池，使其僅在連接到電源裝置時才能工作。如果拔下電纜，計算機將立即關閉，從而導致數據丟失。但是，如果出現電湧，也會發生同樣的情況。

其中一些方法依賴於關閉計算機，而數據可能會在 RAM 中保留幾秒到幾分鐘，理論上允許冷啟動攻擊。^{[21] [22] [23]}低溫冷凍 RAM 可能會進一步延長這段時間，並且已經發現了一些針對野外的攻擊。^[24]存在抵消這種攻擊的方法，可以在關機前覆蓋內存。一些反取證工具甚至會檢測 RAM 的溫度，以便在低於特定閾值時執行關機。^[25] [26]

已經嘗試創建防篡改台式計算機（截至 2020 年，ORWL 模型是最好的例子之一）。然而，安全研究人員和Qubes OS創始人Joanna Rutkowska對這種特定模型的安全性存在爭議。^[27]

被罪犯使用[編輯]

雖然反取證的研究和應用通常可用於保護用戶免受對手（例如調查記者、人權捍衛者、活動家、企業或政府間諜活動）對其機密數據的取證攻擊，但普渡大學的 Mac Rogers 指出，反取證-犯罪分子也可以使用取證工具。

羅傑斯在定義反取證時使用了更傳統的“犯罪現場”方法。“企圖對犯罪現場證據的存在、數量和/或質量產生負面影響，或使證據的分析和檢查難以或無法進行。” ^[3]

反取證的有效性[編輯]

反取證方法依賴於取證過程中的幾個弱點，包括：人為因素、對工具的依賴以及計算機的物理/邏輯限制。^[28]通過降低取證過程對這些弱點的敏感性，審查員可以降低反取證方法成功影響調查的可能性。^[28]這可以通過為調查人員提供更多培訓並使用多種工具證實結果來實現。

另見[編輯]

• 密碼哈希函數
• 數據殘留
• 脫咖啡因
• 消磁
• 加密
• 取證磁盤控制器
• 信息隱私
• 密鑰文件
• 元數據刪除工具
• 似是而非的否認
• 尾巴（操作系統）