反计算机取证技术(二)
前面的文章提到反取证方法分成四类:数据隐藏(data hiding)、资料抹除(artifact wiping)、踪迹混淆(trail obfuscation)、攻击电脑取证过程和工具。链接:反计算机取证技术 (qq.com)
下面我会逐个介绍
数据隐藏
即把暂时不能删除的文件伪装成其他类型,或者把它隐藏在图型和音乐文件夹中。它仅仅在调查人员不知道到哪里取证才有效。
具体方法:我们要用到cmd中的attrib命令,它可以用来设置文件的基本属性(只读、隐藏、系统、存档和无内容索引)
help attrib
显示或更改文件属性。
ATTRIB [+R | -R] [+A | -A] [+S | -S] [+H | -H] [+O | -O] [+I | -I] [+X | -X] [+P | -P] [+U | -U]
[drive:][path][filename] [/S [/D]] [/L]
+ 设置属性。
- 清除属性。
R 只读文件属性。
A 存档文件属性。
S 系统文件属性。
H 隐藏文件属性。
O 脱机属性。
I 无内容索引文件属性。
X 无清理文件属性。
V 完整性属性。
P 固定属性。
U 非固定属性。
[drive:][path][filename]
指定属性要处理的文件。
/S 处理当前文件夹及其所有子文件夹中
的匹配文件。
/D 也处理文件夹。
/L 处理符号链接和
符号链接目标的属性你不会以为它只能拿来做防御?不,黑客入侵计算机时,可以利用attrib将一些目录和文件设置为隐藏和系统属性。很难引起察觉。
还有人会在文件属性那里设置为隐藏的,以为可以隐藏好。
其实..........没用
数据擦除
[delete],[shift+delete]键删除数据,其实数据不会真正删除。想要彻底删除数据需要用到Sdelete 链接:SDelete – 安全的、不可恢复的删除文件和擦除剩余空间
此外,我们还可以通过wipeFile 去删除文件,与Sdelete不同的是,wipeFile是个图形界面操作工具,对小白友好,而Sdelete方便开发调用。
这对于一些不需要的数据来说可以用。
踪迹混淆
一些无谓的挣扎而已............
数据加密
结合我个人实践,数据加密是一种更靠谱的保护数据方式。
这里就很片面,破解密码的难度不仅看长度,也看加密方式。有些机器虽然效率高,但只是针对某种算法。
平常的数据可以用压缩包压缩加密,和BitLocker加密,比较简单。但专业的服务器集群,而且密码简单的话,也会被破解。不过,通过集成算力的方式穷举需要消耗大量资源。十二位数以上的密码能挡住绝大部分黑客了。
若是想要军工级加密可以用Vcrypt。超百位数的密码,美国安全局,中情局都拿它没办法。
软件反监控与自我销毁
当前绝大部分单位和个人热衷于监控,监控本身就折射了人性的阴暗和不信任,如果被不法分子获取了个人隐私资料(特别是账号密码、私密文件、照片等),后果不堪设想。因此,我们要了解一些软件来反监控,对付系统中隐藏的取证软件。
反监控软件必须具有木马性质,主要监控计算机中的进程、网络和系统。
进程监控:
进程监控主要监视进程列表中是否有取证软件的运行。若反监控软件发现计算机中存在取证软件的进程,可立即对数据进行自我销毁。
网络监控:
必须确保主机连接上网络,而一旦检测到网络流量异常以及人为中断,就会启动自我销毁。
系统监控:
系统监控比较复杂,它主要着重于开机与关机操作。用户可自己编写一个小程序替换掉系统的关机功能,除了正常的关机操作,小程序要求必须在关机前1分钟内输入任意数字才关机。若检测到没有,即启动自我销毁。
利用软件来反监控虽然也能够在一定程度上保护数据,防止数据被复制,但这种方法存在很多缺陷。例如,在网络监控时,会遇上突然断电的情况。此时,取证专家可以直接切断后备电源,并将硬盘拿到其他的平台对数据进行复制,以确保证据仍然存在。
2.硬件反监控与自我销毁
硬件反监控可以从根本上杜绝数据被复制,因为这种方法的自我销毁方式有两种:芯片型和物理型。一旦利用其中任意一种方式销毁数字证据,就可以彻底销毁。
芯片型
芯片型的反监控需要先将硬盘及整个机箱都用外箱封闭起来,机箱外观使用iPhone触感技术来检测机箱是否碰触了坚锐物和化学物品,并由机箱前方的智能芯片控制,该智能芯片需要开箱的密码验证。然后在硬盘相关接口插入可编程的构件并连接智能芯片,如果密码连续三次输入错误及检测到机箱外部碰触到可疑物体时,可编程的构件即可破坏硬盘盘片。
物理型;
物理型的反监控需要将硬盘与外箱紧密焊接在一起,内部的构造彼此间都要关联起来,硬盘内部的关键部件要进行特殊处理,机箱不能倒置、倾斜。外壳不能太硬,再时将硬盘所有接口都铅封起来,开箱验证的方式是使用物理性密码。一旦有人试图使用铁售工具打开机箱,即使是轻微的振动,硬盘就会自动报废,数据也就自动销毁了。
|文章内容仅局限于技术探讨,不得用于违法用途;未经授权,不得转载
欢迎关注公众号:Tech深度科技
留言
張貼留言