Professional Documents
Culture Documents
Anti-forensics tem sido reconhecido somente recentemente como um campo legitimate do estudo.
Dentro deste campo do estudo, as definições numerosas do anti-forensics abound. Uma das
definições mais extensamente sabidas e aceitadas vem do Dr. Marc Rogers da universidade de
Purdue. Dr. Rogers usa de “uma aproximação mais tradicional da cena crime” ao definir o anti-
forensics. “Tentativas de afetar negativamente a existência, a quantidade e/ou a qualidade da
evidência de uma cena de crime, ou de fazer a análise e a examinação da evidência difíceis ou
impossíveis de conduzir” [1]
Uma definição mais abreviada é dada por Scott Berinato em seu artigo intitulado, a ascensão de
Anti-Forensics. “Anti-forensics é mais do que a tecnologia. É uma aproximação a cortar criminal
que pode ser resumido como este: Faça duro para que encontrem-no e impossível para que provem
encontraram-no.” [2] Interessante, nenhum autor faz exame no cliente do usuário que usa métodos do
anti-forensics assegurar dados pessoais é mantido confidencial.
Sub-categories de Anti-forensics
Dentro do campo do forensics digital há muito debate sobre a finalidade e os objetivos de métodos
anti-forensic. O conception comum é que as ferramentas anti-forensic são puramente maliciosas na
intenção e no projeto. Outros acreditam que estas ferramentas devem ser usadas ilustrar deficiências
em procedimentos forensic digitais, em ferramentas forensic digitais, e na instrução forensic do
examinador. Este sentiment foi ecoado na conferência 2005 de Blackhat por autores anti-forensic,
por James Foster e por Vinnie Liu da ferramenta. Indicaram que expondo estas edições, os
investigators forensic terão que trabalhar mais duramente para provar que a evidência coletada é
exata e segura. Acreditam que este resultará em ferramentas melhores e em instrução para o
examinador forensic. [3]
Esconder de dados
Esconder de dados é o processo de fazer dados difíceis de encontrar ao também mantê-lo acessível
para o uso futuro. O “Obfuscation e o encryption dos dados dão a um adversário a abilidade de
limitar a identificação e a coleção da evidência por investigators ao permitir o acesso e o uso a
se.” [4] Alguns dos formulários mais comuns de esconder de dados incluem o encryption, o
steganography, e outros vários formulários da ferragem/do concealment baseado software dos dados.
Cada um dos métodos diferentes esconder de dados faz examinações forensic digitais difíceis.
Quando os métodos diferentes esconder de dados são combinados, podem fazer uma investigação
forensic bem sucedida quase impossível.
Encryption
Uma das técnicas mais geralmente usadas para derrotar o forensics do computador é encryption de
dados. Em uma apresentação deu no encryption e as metodologias anti-forensic o vice-presidente de
computar seguro, Henry de Paul, consultaram a encryptioncomo o nightmare “de uma análise
forensic”. .[5]
A maioria de programas publicamente disponíveis do encryption permite que o usuário críe os discos
cifrados virtuais que podem somente ser abertos com uma chave designada. Com o uso de
algoritmos modernos do encryption e de várias técnicas do encryption estes programas fazem os
dados virtualmente impossíveis ler sem a chave designada.
O encryption nivelado da lima cifra somente os índices da lima. Isto deixa a informação importante
tal como a lima - nome, tamanho e timestamps unencrypted. As partes do índice da lima podem
reconstructed de outras posições, tais como limas provisórias, lima da troca e cópias suprimidas,
unencrypted.
A maioria de programas do encryption têm a abilidade de executar um número de funções adicionais
que fazem esforços forensic digitais cada vez mais difíceis. Algumas destas funções incluem o uso
de a keyfile, encryption do cheio-volume, e deniability plausible. A disponibilidade difundida do
software que contem estas funções pôs o campo do forensics digital em uma desvantagem grande.
Steganography
Steganography é uma técnica onde a informação ou as limas sejam escondidas dentro de uma outra
lima em uma tentativa de esconder dados deixando a na vista lisa. “Steganography produz os dados
escuros que são enterrados tipicamente dentro dos dados claros (por exemplo, um watermark digital
non-perceptível enterrado dentro de uma fotografia digital).” [6] Alguns peritos discutiram que o uso
de técnicas do steganography não é muito difundido e não deve conseqüentemente ser dado muitos
do pensamento. A maioria de peritos concordarão que o steganography tem a potencialidade de
disrupting o processo forensic quando usado corretamente. [2]
De acordo com Jeffrey Carr, uma edição 2007 de Mujahid técnico (uma publicação bi-monthly do
terrorista) esboçou a importância de usar um programa do steganography chamado Segredo do
Mujahedeen. De acordo com Carr, o programa touted como dar ao usuário a potencialidade para
evitar a deteção pela corrente steganalysis programas. Fêz este com o uso do steganography
conjuntamente com a compressão da lima. [7]
Outros formulários de esconder de dados envolvem o uso das ferramentas e das técnicas esconder
dados durante todo várias posições diferentes em um sistema computatorizado. Alguns destes
lugares podem incluir a “memória, espaço frouxo, diretórios escondidos, blocos maus, córregos de
dados alternos, divisórias escondidas.” [1] Um do melhor - as ferramentas sabidas que é usado
frequentemente para esconder de dados são chamadas Frouxo (parte do Metasploit estrutura). Mais
frouxo quebra acima uma lima e coloca cada parte dessa lima no espaço frouxo de outras limas,
desse modo escondendo o do software forensic da examinação. [6] Uma outra técnica esconder de
dados envolve o uso de setores maus. Para executar esta técnica, as mudanças do usuário um setor
particular do bom ao bad e dados são colocadas então nesse conjunto particular. A opinião é que as
ferramentas forensic da examinação verão estes conjuntos como o bad e continuarão sobre sem
nenhuma examinação de seus índices. [6]
Limpar do Artifact
Os métodos usados em limpar do artifact são tasked com permanentemente eliminar limas
particulares ou sistemas de lima inteiros. Isto pode ser realizado com o uso de uma variedade dos
métodos que incluem utilidades da limpeza do disco, lima que limpa utilidades e degaussing do
disco/técnicas da destruição. [1]
As utilidades da limpeza do disco usam uma variedade dos métodos overwrite os dados existentes
em discos (veja remanence dos dados). A eficácia de utilidades da limpeza do disco como
ferramentas anti-forensic é desafiada frequentemente enquanto algumas acreditam que não são
completamente eficazes. Peritos que não acreditam que as utilidades da limpeza do disco são
aceitáveis para o disco sanitization baseie suas opiniões fora da política atual de DOD, que indica
que o único formulário aceitável do sanitization degaussing. (Veja Programa nacional da segurança
industrial) As utilidades da limpeza do disco são criticadas também porque deixam assinaturas que o
sistema de lima estêve limpado, que em alguns casos é inaceitável. Algumas das utilidades
extensamente usadas da limpeza do disco incluem DBAN, SRM, KillDisk, de Inspector do PC
cyberCide e de CyberScrubs.
A lima que limpa utilidades é usada suprimir limas individuais de um sistema operando-se. A
vantagem da lima que limpa utilidades é que podem realizar sua tarefa em uma quantidade de tempo
relativamente curta ao contrário das utilidades da limpeza do disco que fazem exame muito mais por
muito tempo. Uma outra vantagem da lima que limpa utilidades é que deixam geralmente uma
assinatura muito menor do que utilidades da limpeza do disco. Há duas desvantagens preliminares da
lima que limpam utilidades, primeiramente requerem a participação do usuário no processo e em
segundo alguns peritos acreditam que a lima que limpa programas não sempre corretamente e
completamente informação da lima do wipe. [1] Alguma da lima extensamente usada que limpa
utilidades inclui R-Limpa & limpa, eliminador, Wipe de Aevita & supressão e CyberScrubs
PrivacySuite.
Disco que degaussing (veja degauss) é um processo por que um campo magnético invertido é
aplicado a um dispositivo digital dos meios. O resultado é um dispositivo que esteja inteiramente
limpo de todos os dados previamente armazenados. Degaussing é usado raramente como um método
anti-forensic apesar do fato que é a maneira a mais de confiança assegurar dados estêve limpado. Isto
é atribuído ao custo elevado de degaussing as máquinas, que são difíceis para que o consumidor
médio tenha recursos para. Uma técnica mais geralmente usada para assegurar limpar dos dados é a
destruição física do dispositivo. NISTrecomenda que “a destruição física pode ser realizada usando
uma variedade dos métodos, including o disintegration, o incineration, pulverizing, shredding e
derreter” [8]
Obfuscation da fuga
A finalidade do obfuscation da fuga é confundir, disorientate e desviar o processo forensic da
examinação. O obfuscation da fuga cobre uma variedade das técnicas e as ferramentas que incluem
do “líquidos de limpeza registro, spoofing, misinformation, espinha dorsal que espera, zombied
clientes, comando de Trojan”. [1] Uma das ferramentas mais extensamente sabidas do obfuscation da
fuga é Timestop (parte da estrutura de Metasploit). Timestop dá ao usuário a abilidade de modificar
os metadata da lima que pertencem aos tempos do acesso, da criação e da
modificação/datas. [2] Usando programas tais como Timestop, um usuário pode render todo o número
das limas inútil em um ajuste legal diretamente chamando dentro para questionar o credibility das
limas.
Outros bons - o programa sabido do obfuscation da fuga é Transmogrify (parte também da estrutura
de Metasploit). Em a maioria de tipos da lima o encabeçamento da lima contem identificar a
informação. A (.jpg) teria a informação de encabeçamento que o identifica como a (.jpg), a (.doc)
teria a informação que o identifica como (.doc) e assim por diante. Transmogrify permite que o
usuário mude a informação de encabeçamento de uma lima, assim que o encabeçamento de a (.jpg)
poderia ser mudado ao encabeçamento de a (.doc). Se um programa forensic da examinação
ou sistema operando-se era conduzir uma busca para imagens em uma máquina, veria simplesmente
a lima de a (.doc) e saltaria sobre ele. [2]
Ataques de encontro ao forensics do computador
Nas ferramentas anti-forensic passadas focalizaram em atacar o processo forensic dados destruindo,
dados escondendo, ou alterar a informação do uso dos dados. Anti-forensics tem-se movido
recentemente em um reino novo onde as ferramentas e as técnicas fossem focalizadas em atacar as
ferramentas forensic que executam as examinações. Estes métodos anti-forensic novos beneficiaram-
se de um número de fatores para incluir procedimentos forensic bem documentados da examinação,
vulnerabilities forensic extensamente sabidos da ferramenta e o reliance pesado dos examinadores
forensic digitais em suas ferramentas. [1]
Durante uma examinação forensic típica, o examinador criaria uma imagem dos discos dos
computadores. Isto mantem o computador original (evidência) de tainted por ferramentas forensic.
Hashes (veja função cryptographic da mistura) são criados pelo software forensic da examinação
para verificar a integridade da imagem. Uma das técnicas recentes da anti-ferramenta alveja a
integridade da mistura que é criada para verificar a imagem. Afetando a integridade da mistura, toda
a evidência que for coletada durante a investigação subseqüente pode ser desafiada.
Degaussing
“Degausser” dirige de novo aqui. Para a canção perto Brandnew, veja Degausser (canção).
Clearing
Clearing é a remoção de dados sensíveis dos dispositivos de armazenamento de tal maneira que há
uma garantia, proporcional à sensibilidade dos dados, que os dados não podem reconstructed usando
funções normais do sistema. Os dados podem ainda ser recoverable, mas não sem esforço incomun.
O Clearing é considerado tipicamente uma proteção administrativa de encontro à divulgação
acidental dentro de uma organização. Por exemplo, antes de a disco flexível reúso dentro de uma
organização, seus índices pode ser cancelou para impedir sua divulgação acidental ao usuário
seguinte.
Remover
Overwriting
Um método comum usado opôr o remanence dos dados é overwrite o meio de armazenamento com
dados novos. Isto é chamado frequentemente a limpar ou shredding uma lima ou um disco. Porque
tais métodos podem frequentemente ser executados dentro software sozinho, e pode alveja
seletivamente somente a parte de um meio, ele é uma opção popular, low-cost para algumas
aplicações.
O mais simples overwrite a técnica escrevem os mesmos dados em toda parte -- frequentemente
apenas um teste padrão de todos os zero. Em um mínimo, isto impedirá que os dados estejam
recuperados simplesmente lendo do meio outra vez, e é assim usado frequentemente para clearing.
Para opôr umas técnicas mais avançadas da recuperação dos dados, o específico overwrite testes
padrões é prescrito frequentemente. Estes podem ser testes padrões genéricos pretendidos eradicate
todas as assinaturas do traço. Por exemplo, os testes padrões repetidos, alternos da escrita de uns e os
zero podem ser mais eficazes do que zero sozinho. As combinações dos testes padrões são
especificadas freqüentemente.
Um desafio com um overwrite é que algumas áreas do disco podem ser inacessível, devido à
degradação dos meios ou aos outros erros. O software overwrite pode também ser problematic nos
ambientes da elevado-segurança que requerem uns controles mais fortes nos dados que commingling
do que pode ser fornecido pelo software no uso. O uso de tecnologias de armazenamento
avançadas pode também fazer lima-baseado para overwrite ineficaz.
Encryption
Criptografia os dados antes que estejam armazenados no meio podem mitigate interesses sobre o
remanence dos dados. Se chave do decryption é forte e com cuidado controlado (isto é, não próprio
assunto ao remanence dos dados), pode eficazmente fazer todos os dados no meio unrecoverable.
Mesmo se a chave for armazenada no meio, pode provar mais fácil ou mais rápido aoverwrite apenas
a chave, contra o disco inteiro.
O Encryption pode ser feito em a lima-por-lima base, ou no disco inteiro.
Destruição física
Complicações
Os meios de armazenamento podem ter as áreas que se tornam inacessíveis por meios normais. Por
exemplo, a discos magnéticospode desenvolver “setores maus novos” depois que os dados foram
escritos, e as fitas adesivas requerem aberturas inter-record. Moderno discos duros caracterize
frequentemente remapping automático de setores ou das trilhas marginais, que Ósmio não pode
mesmo estar ciente de. Tentativas de opôr perto o remanence dos dados overwriting não pode ser
bem sucedido em tais situações, enquanto os restos dos dados podem persistir em tais áreas nominal
inacessíveis.
Meios óticos
Meios óticos não seja magnético e não são afetados perto degaussing. Write-once meios óticos (CD-
R, DVD-R, etc.) também não pode ser removido perto overwrite. Meios óticos de leitura/gravação,
como CD-RW e DVD-RW, pode ser receptivo a overwriting. Os métodos para com sucesso
sanitizing discos óticos incluem a delaminating-abrasão da camada de dados metálica, do shredding,
de formar arcos elétrico destrutivo (como pela exposição à energia da microonda), e do submersion
em um solvente do polycarbonate (por exemplo, acetona).
Dados na RAM
O remanence dos dados foi observado dentro RAM de estática, que é considerado tipicamente
temporário (isto é, os índices são apagados com perda do poder elétrico). No estudo, a retenção dos
dados foi observada às vezes mesmo na temperatura de quarto.[6]
Um outro remanence encontrado estudo dos dados dentro memória de acesso aleatório
dinâmica (DRAM), outra vez com retenção dos dados dos segundos aos minutos na temperatura de
quarto e nas horas muito mais longas em que as microplaquetas de memória foram refrigeradas à
temperatura baixa. Os autores do estudo podiam ao uso a ataque do carregador frio para recuperar
cryptographic chaves para diversos populares encryption cheio do disco sistemas. Apesar de alguma
degradação da memória, podiam fazer exame da vantagem da redundância na maneira que as chaves
são armazenadas depois que foram expandidas para o uso eficiente, tal como dentro programar
chave. Os autores recomendam que os computadores powered para baixo, melhor que sejam saidos
no “sono“estado, quando não no controle físico do proprietário, e em alguns casos como Bitlocker,
isso um carregador PINO seja configurado também. [7]
técnicas anti-forense
-Forense técnicas Anti tentar frustrar os investigadores forenses e suas técnicas .
Isso pode incluir recusando-se a executar quando a depuração modo é ativado, recusando-se a
execução quando rodando dentro de umamáquina virtual , ou deliberadamente dados
substituição. Embora algumas ferramentas anti-forense têm fins legítimos, como a substituição de
dados sensíveis que não devem cair em mãos erradas, como qualquer ferramenta que pode ser
abusado.
Tradicional anti-forense
Dados e Metadados Substituições
Secure exclusão de dados
Firmemente apagar dados, de modo que não possa ser recuperada com métodos forenses.
Programas empregam uma variedade de técnicas para sobrescrever dados. Disk Utility da Apple,
permite que dados sejam substituídos por uma única passagem de bytes NULL, com 7 passes de
dados aleatórios, ou com 35 passagens de dados. cipher.exe Microsoft, escreve um passe de zeros,
um passe de FFs, e uma passagem de dados aleatórios, em conformidade com o padrão DoD
5220.22-M.(DoD EUA, 1995). Em 1996, Gutmann afirma que poderia ser possível recuperar os dados
sobrescritos e propôs uma abordagem de 35 passam para sanitização assegurada (Gutmann,
1996). No entanto, um passe único substituindo agora é vista como suficiente para adesinfecção de
dados a partir de drives ATA com capacidade de mais de 15 GB que foram fabricados depois de 2001
(NIST 2006).
Esteja ciente de que "destruidores de dados" do software pode não necessariamente fazer o que
afirmam no site burb. Em particular, um erro comum é a fiscalização de como o sistema de arquivos
subjacente realmente armazena arquivos, por exemplo, uma "limpeza unidade" aplicativo que irá
escrever uma série de valores aleatórios no espaço não alocado no disco rígido não pode levar em
conta o espaço de folga o fim dos blocos de dados alocados. Permitindo assim uma grande parcela de
dados antigos que ainda é recuperável.Isto é muito útil para analista forense, mas não tão útil para
gestores de TI.
Substituições Metadados
Se o examinador sabe quando um invasor teve acesso a um Windows, Mac ou Unix, é frequentemente
possível determinar quais arquivos o atacante acessado, através da análise do arquivo "acesso" vezes
para cada arquivo no sistema. Alguns CFTs pode preparar um "timeline" das ações do invasor,
classificando todos os timestamps do computador em ordem cronológica. Embora um invasor poderia
limpar o conteúdo da mídia, essa ação em si pode atrair a atenção. Em vez disso, o atacante pode
esconder suas pistas, substituindo-se os tempos de acesso de modo que o cronograma não pôde ser
construído de forma confiável.
Por exemplo, Timestomp substituirá NTFS "criar", "modificar", "acesso" e "mudança" timestamps
( Metasploit 2006). Defiler's Toolkit Apode substituir timestamps inode e entradas de diretório excluído
em sistemas Unix muitos, data e hora em arquivos atribuídos pode também ser modificada usando o
comando touch Unix ( A Grugq 2003).
Por exemplo, uma partição pode ser montada como somente leitura ou acessado através do dispositivo
bruto para evitar que o tempo de acesso ao arquivo que está sendo atualizado. O registro do Windows
chave HKLM \ SYSTEM \ CurrentControlSet \ Control \ FileSystem \ NtfsDisableLastAccessUpdate
pode ser definido como "1" para desabilitar a atualização do timestamp último acesso, esta
configuração é padrão no Windows Vista (Microsoft, 2006).
A criptografia também pode ser usado no nível do aplicativo. Por exemplo, o Microsoft Word pode ser
configurado para criptografar o conteúdo de um documento, especificando que o documento tem uma
"senha para abrir." Embora as versões mais antigas do Microsoft Word documentos criptografados com
uma chave de 40 bits que pode ser quebrada com as ferramentas comerciais, versões modernas
podem opcionalmente usar uma criptografia de 128 bits que é indecifrável, se uma senha segura é
usado.
Programa Packers
Packers são comumente utilizados pelos atacantes, para que ferramentas de ataque não será sujeito a
engenharia reversa ou a detecção de varredura. Packers como PECompact (Bitsum 2006) e Burneye
(Vrba 2004) terá um segundo programa, comprimir e / ou criptografá-la e envolvê-la com um extrator
adequado. Packers também pode incorporar proteção ativa contra as técnicas de engenharia reversa
ou de depuração. Por exemplo, Shiva vai sair se o seu processo está sendo rastreada; se o processo
não está sendo seguido, ele irá criar um segundo processo, e os dois processos, então, trace o outro,
pois cada processo em um sistema Unix só podem ser rastreados por um outro processo. (Mehta e
Clowes, 2003)
Pacotes de programas que requerem uma senha para ser executado pode ser tão forte como sua
criptografia e senha. No entanto, os programas são mais vulneráveis durante a execução. Burndump é
um módulo de kernel carregável (LKM), que detecta automaticamente quando um arquivo Burneye
protegido é executado, espera que o programa a ser decifrado e, em seguida, escreve as matérias-
primas, desprotegido binário para outro local (ByteRage 2002). Pacotes de programas também são
vulneráveis a análise estática se nenhuma senha é necessária (Eagle 2003).
Esteganografia
Esteganografia pode ser usada para inserir dados criptografados em um texto de capa para evitar a
detecção. Steghide incorpora texto em formato JPEG, MBP, MP3, WAV e AU (Hetzl 2002). Hydan
explora a redundância do conjunto de instruções x86, que pode codificar cerca de 1 byte por 110 (El-
Khalil, 2004). Stegdetect (Provos 2004) pode detectar algumas formas de esteganografia.
esconde StegFS dados criptografados em blocos não utilizados de um sistema de arquivos Linux ext2,
tornando os dados "parecem uma partição em que os blocos não utilizados foram recentemente
substituídos com bytes aleatórios utilizando algumas ferramentas limpeza de disco" (McDonald e Kuhn,
2003).
FreeOTFE e TrueCrypt permite que um arquivo do sistema codificado segundo a ser escondido dentro
de outro sistema de arquivos criptografados. O objetivo deste sistema de arquivos dentro de um
sistema de arquivos é para permitir que os usuários tenham um sistema de arquivos "chamariz" com
dados que são interessantes, mas não exageradamente sensíveis. Uma pessoa que está preso ou
capturado com um laptop criptografado usando este software poderia, então, desistir de senha do
sistema de arquivo do primeiro, com a esperança de que o chamariz seria suficiente para satisfazer os
interrogadores da pessoa.
Informações podem ser armazenados no Host Protected Area (HPA) eo Device Configuration
Overlay (DCO) áreas de ATA para discos rígidos modernos. Dados do HPA e DCO não é visível para o
BIOS do sistema ou a funcionar, embora possa ser extraídos com ferramentas especiais.
Existem vários métodos para detectar se um investigador tenta executar uma live) forense análise
(sobre o sistema. Um utilizador mal intencionado ou programa poderia reagir a isso a destruição de
provas, por exemplo.
Casper é um conjunto de scripts usados para habilitar baseado distribuições Linux para inicializar a
partir de mídia removível. Casper scripts irá procurar o sistema de arquivos raiz
(normalmenteSquashFS ) na mídia de armazenamento de dados local durante o boot, montar e
executar / sbin / initprograma na raiz montado. A maioria dos forenses distribuições Linux baseada
no Ubuntu e do Debian falta de verificação de integridade de SquashFS imagens selecionadas e vai
arrancar imagens especialmente criadas encontrados no disco rígido (não está no CD).
Henrique, Wendel G., Anti-Forensics: computação forense Fazendo duras, Código Breakers III, São
Paulo, Brasil, Setembro de 2006.