反计算机取证技术

 

反电脑取证，又称反取证，指的是对取证分析的反制。

反取证是一门于较后期才得到合法承认的研究领域，其有着各种不同的定义，当中又以普渡大学的马克·罗杰斯（Marc Rogers）所下的定义最为人接受。罗杰斯的定义如下：“[任何]企图对犯罪证据的有没、数量、质量产生不利影响，或使证据无法分析”。《飞客杂志》于2002年详细介绍了反取证的技巧，当中定义反取证为“移除或藏匿证据，以图减低取证侦查的效力”。

斯科特·贝里纳托（Scott Berinato）在文章《反取证的崛起》中给出了一个更为简略的定义：“反取证不仅仅只是一门技术，其还是一门应对黑客犯罪的手段。这点基本可总结为：在让他们难以找到你之余，又让他们不可能证明找对人”。

目标

在数字取证领域当中，反取证手段的宗旨与目标有着很大争议。不少人认为反取证工具百害而无一利。而另一些人则认为，应该以这些工具去说明数字取证的不足。在2005年的黑帽安全技术大会上，反取证工具的创作者詹姆斯·福斯特（James Foster）和维尼·刘（Vinnie Liu）便表达了这种观点。他们表示，透过找出这些问题，取证人员将不得不更加努力地证明所收集到的证据是准确可靠的。故此他们相信这能提升取证教育和工具的水平。此外反取证对于防范间谍活动也有着正面意义，因为他们的手法可能跟取证人员类似。

有点啰嗦了，一个高明黑客，不仅要会攻击，还要会防御、会隐藏自己。

分类

反取证方法分成四类：数据隐藏（data hiding）、资料抹除（artifact wiping）、踪迹混淆（trail obfuscation）、攻击电脑取证过程和工具。直接攻击取证工具的手段可称为反取证。

• 数字证据在司法中并不能真正地充当证据，因为所有的证据都要证明它的真实性和唯一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前的数字技术来说，所有的数字记录都很难说明是否是原存储介质中的资料，是否进行了修改，在证据中很难鉴别。击垮数字证据很简单，只需利用它本身的特性来进行反取证即可。
  
  
  篇幅受限，具体方法留给下一篇讲述吧！