[原创]计算机反取证
文章作者:skyjay信息来源:邪恶八进制信息安全团队([url]www.eviloctal.com[/url])
要反取证就要知道怎么样取证,目前国内计算机取证技术大概有如下。
一 数据恢复技术
二 IP地址获取技术
三 入侵检测技术“IDS”
四 加密解密技术和口令获取
五 反向工程技术
六 信息搜索与过滤技术
等等技术,下面我对比较重要的简单介绍一下。
什么是“数据恢复技术”
通常磁盘被格式化不过是对用于访问文件系统的各种表进重新构造所以格式化之后数据仍然存放在磁盘上等待新的文件覆盖他,数据恢复技术就是用于在未被覆盖前恢复所删除文件目前国内可恢复1-2被覆盖删除的文件。
什么是“IP地址获取技术”
由于IP地址获取牵撤到很多网络技术所以我这里介绍下重要的一般ISP会通过RADIUS协议支持和路由器和中央用户目录之间验证请求,这一协议可以用于用户身份认证和记帐。RADIUS服务器通常是追踪罪犯的唯一设备,RADIUS服务器一般会对每一个注册请求的记录保存一年以上。
什么是“IDS入侵检测技术”
IDS一般有两种使用方式:基于网络和主机。基于网络的IDS一般安装在一个网段,检测网段内每台机器的流量和未授权活动记录所有日志,基于主机的一般在单各主机上执行检测记录特定事件或者模式边变化,等等。
下面说反取证技术
一般常见的技术有代理,跳板,数据抹擦等等。
当你进入跳板肉鸡操作就会有很多的记录比如说远行痕迹、网络浏览地址、缓存、历史记录和临时文件日志记录等这些如果你只通过普通的日志清除工具都可以恢复,所以我向大家推荐几款工具Powerful.Cookies 通过3次覆盖技术删除电脑上所以执行痕迹,不针对日志。
ultrashredder 针对单一文件覆盖删除,拖拉要删除的文件比如日志选择覆盖次数即可。
SystemShield 针对所有已经删除的文件在次清理。
经过本人测试通过软件恢复工具FinalData和EasyRecovery不可恢复。三款软件的绿色版我已经打包好上传给大家,2M不到很小方便携带。
对于跳板技术 建议一般使用3层先找一台国外的跳板在接入国内的等等。
有不对的请大家指教! 如果工具是你写的我就加精了。
但仅仅是工具介绍,放在原创区已经很勉强了。
如果是介绍反计算机取证技术细节的document也可以。
本来打算放到工具版的,后来觉得还是勉强放这里吧。
建议楼主可以看看
[url]http://forum.eviloctal.com/read-htm-tid-22265.html[/url]
这本03年出版的关于取证技术的书
以及本论坛此版的帖子 文档
[url]http://forum.eviloctal.com/thread-htm-fid-35.html[/url]
争取早日自己写出有所成就的作品 实在感谢sun,我会努力的!~你介绍的我都看过,因为写大文章需要很多参考,我会加油,大家一起加油! 此3款工具,是我经过多次实践中挑选出来的,绝对的好用! 我看报纸上说重复覆盖7次都可以恢复啊!是美国军方用的什么紫外光谱,
看来要把数据消了就只有把硬盘毁了. [quote][b]这里是引用第[/b][color=#ff0000][4 楼][/color][b]的[color=#000066]saturnman[/color]于[/b]2006-10-14 23:58[b]发表的:[/b][TIPS]Re:[原创]计算机反取证
我看报纸上说重复覆盖7次都可以恢复啊!是美国军方用的什么紫外光谱,
看来要把数据消了就只有把硬盘毁了.[/quote]
还有比美国国防部用的更严格的,叫彼德加特曼法。 [quote][b]这里是引用第[/b][color=#ff0000][5 楼][/color][b]的[color=#000066]sunwear[/color]于[/b]2006-10-15 04:06[b]发表的:[/b]Re:[TIPS]Re:[原创]计算机反取证
还有比美国国防部用的更严格的,叫彼德加特曼法。[/quote]
彼德加特曼法 不解? 请sun 说说 或者提供一点相关质料 [quote][b]这里是引用第[/b][color=#ff0000][6 楼][/color][b]的[color=#000066]chinalvker[/color]于[/b]2006-10-15 12:22[b]发表的:[/b]Re:Re:[TIPS]Re:[原创]计算机反取证
彼德加特曼法 不解? 请sun 说说 或者提供一点相关质料[/quote]
覆盖35次.
美国国防部有3次覆盖和7次覆盖两种 标准是7次。
但LINUX里好象可以让你轻易覆盖35次的。
这方面的资料挺多的。
我列个目录吧
2006-09-13 18:58 39,871 与财务相关的计算机取证.txt
2006-09-13 18:59 2,298,123 网警剿黑客手册.pdf
2006-09-13 18:59 2,111,027 网警.pdf
2006-09-13 18:59 90,112 数字取证的分层抽象模型的研究.ppt
2006-09-13 18:59 436,807 手机取证概述.pdf
2006-09-13 19:00 927,482 实时取证网络数据分析 Real-Time and Forensic Network Data Analysis.pdf
2006-09-13 19:01 4,789,401 取证与蜜罐(计算机取证技术部分).pdf
2006-09-13 19:01 254,032 浅析电子证据的法律定位.pdf
2006-09-13 19:01 69,632 论计算机取证工具及其检测.doc
2006-09-13 19:01 1,173,920 计算机取证与日志分析.pdf
2006-09-13 19:01 22,717 计算机取证与分析步骤(Computer Evidence Processing Steps).txt
2006-09-13 19:01 170,440 计算机取证技术综述.pdf
2006-09-13 19:02 338,840 计算机取证技术及其发展趋势.pdf
2006-09-13 19:02 827,392 计算机取证技术.ppt
2006-09-13 19:02 540,808 计算机取证的技术和方法.pdf
2006-09-13 19:02 167,750 计算机反取证技术研究.pdf
2006-09-13 19:02 971,531 风险管理应急响应与取证-李德全-信息安全国家重点实验室.pdf
2006-09-13 19:02 407,669 反取证之避免敏感数据恢复(Anti-Forensics).pdf
2006-09-13 19:02 18,770 对物理内存的取证分析.txt
2006-09-13 19:02 213,612 电子证据取证技术的研究.pdf
2006-09-13 19:02 4,162 电子取证技术的三大方向.txt
2006-09-13 19:03 1,109,281 Seentech 网络入侵取证系统技术白皮书.pdf
2006-09-13 19:03 234,247 E-Mail数字取证分析:可信的电子邮件协议 Digital Forensic Analysis of E-Mails:A Trusted E-Mail Protocol.pdf
2006-10-05 18:31 83,434 IP反向追踪技术综述].pdf
2006-10-05 18:31 240,363 网络安全技术的探讨.pdf
2006-10-05 18:32 <DIR> 擦除程序运行后的痕迹
2006-10-05 18:35 2,941 software介绍.txt
2006-10-05 18:35 4,789,401 取证与蜜罐.pdf
2006-10-05 18:39 <DIR> 网络安全与计算机犯罪勘查技术学
2006-10-05 18:40 23,225,396 方正apabi联盟制作[刑事侦查学].pdf
2006-10-10 10:44 49,377,840 [现场反应:计算机取证工具].[books.forensics].-.Incident.Response.Investigating.Computer.Crime.eBook-EEn.pdf
2003-03-25 22:25 5,073,683 incident response.pdf
2006-10-10 18:39 2,111,027 方正apabi联盟制作[网警].pdf 记得有一次被抓...局里的网络警察NB的向我展示他们强大的信息过滤器和数据恢复技术.
他们和电信挂勾..可以直接在网络出口处监视某IP所有的数据流...只要IP被他们叮到基本就跑不掉了.还有...我发现他们也有养肉鸡的习惯....(那些参与网络赌博的). 暗夜兄,可有QQ。能否和你讨论下这些问题!~
他们不可能每一个IP都有监视??
是跳板的IP,他盯了有什么用? 我看到标题以为是计算机反取证技术的,结果只是概括性的描述,介绍也不全面
现在靠软件修复数据已经很落伍了,磁道修复说点还是不错的,建议你加深对取证技术的了解
只有了解了,才能深入了解怎么进行反击,这实际上就是矛与盾的问题
LZ如果用过这3个软件,说下使用的过程也好 做危险的操作跑到网吧去玩(你的代理都是一次性的?),还得看看装没装监控 只要他们没证据就一点点也不承认 水平高没什么用,别太把自己看做盘菜,小心驶得万年船 [quote]我看报纸上说重复覆盖7次都可以恢复啊!是美国军方用的什么紫外光谱,
看来要把数据消了就只有把硬盘毁了.[/quote]
零填充了那块区间应该是没办法恢复。
取文件存放硬盘的物理地址,然后FillChar(buff,*char[],len(buff));
回头实验下,只是一个想法。 安全删除文件工具 !支持命令行操作! [url]http://baiyiba.com/soft/erase.gif[/url] 国内的wywz用的也是它的DLL,强烈鄙视一下 下载地址[url]http://baiyiba.com/soft/ha_eraser57_ljh.rar[/url] [url]http://www.softsea.net/soft/107204.htm[/url] 好用,推荐 通用公开授权 GPL 软件 [quote]引用第14楼oics于2007-06-07 10:23发表的 :
安全删除文件工具 !支持命令行操作! [url]http://baiyiba.com/soft/erase.gif[/url] 国内的wywz用的也是它的DLL,强烈鄙视一下 下载地址[url]http://baiyiba.com/soft/ha_eraser57_ljh.rar[/url] [url]http://www.softsea.net/soft/107204.htm[/url] 好用,推荐 通用公开授权 GPL 软件[/quote]
[s:289]
你用简单的软件人家也能恢复呀.... [quote]引用第13楼darklord于2007-06-07 10:19发表的 :
零填充了那块区间应该是没办法恢复。
取文件存放硬盘的物理地址,然后FillChar(buff,*char[],len(buff));
回头实验下,只是一个想法。[/quote]
0填充肯定不行,写入一遍有规律的数据,甚至全0。。。。只是相当于降低了磁信号的信噪比。。。。。
重复的写入随机数据,,,应该会有更好的效果。。。。要让数据信号彻底被噪音信号掩盖 说了这么多,倒低有没有真正有效的反取证手段? 覆盖35次.
美国国防部有3次覆盖和7次覆盖两种
意思就是保守估计35内的覆盖都是可以恢复的?那那些粉碎软件有用吗? [quote]引用第18楼naxiaozi于2007-07-03 02:10发表的 :
覆盖35次.
美国国防部有3次覆盖和7次覆盖两种
意思就是保守估计35内的覆盖都是可以恢复的?那那些粉碎软件有用吗?[/quote]
我测试过瑞星的文件粉碎,可以恢复 [quote]引用第18楼naxiaozi于2007-07-03 02:10发表的 :
覆盖35次.
美国国防部有3次覆盖和7次覆盖两种
意思就是保守估计35内的覆盖都是可以恢复的?那那些粉碎软件有用吗?[/quote]
为什么要35天内?难道硬盘的数据会随着时间流逝?? 应该是35次覆盖,打错字. [s:281]
以后硬盘只能用一次性的了,就怕做黑事,留下记录. [s:222]
页:
[1]