反電腦鑑證 - 维基百科,自由的百科全书
反電腦鑑識,又稱反鑑識,指的是對鑑識分析的反制。
定義
[编辑]反鑑識是一門於較後期才得到合法承認的研究領域,其有着各種不同的定義,當中又以普渡大學的马克·罗杰斯(Marc Rogers)所下的定義最為人接受。罗杰斯的定義如下:「[任何]企圖對犯罪證據的有沒、數量、質量產生不利影響,或使证据難以/無法分析[的行動]」[1]。《飞客杂志》於2002年詳細介紹了反鑑識的技巧,當中定義反鑑識為「移除或藏匿证据,以图减低鑑識侦查的效力」[2]。
斯科特·贝里纳托(Scott Berinato)在文章《反鑑識的崛起》中给出了一个更为简略的定义:「反鑑識不仅仅只是一門技术,其還是一門應对黑客犯罪的手段。這點基本可總結為:在让他们难以找到你之餘,又讓他们不可能證明找對人」[3]。
子分類
[编辑]反鑑識方法一般分成幾個大類。马库斯·罗杰斯所創立的分類是當中較為人接受的一個,他把反鑑識方法分成四類:數據隱藏(data hiding)、資料抹除(artifact wiping)、蹤跡混淆(trail obfuscation)、攻擊電腦鑑識過程和工具[1]。直接攻擊鑑識工具的手段可稱為反鑑證[4]。
宗旨與目标
[编辑]在數位鑑識領域當中,反鑑證手段的宗旨與目标有著很大爭議。不少人[谁?]認為反鑑證工具百害而無一利。而另一些人則認為,應該以這些工具去說明數位鑑識的不足。在2005年的黑帽安全技术大会上,反鑑證工具的創作者詹姆斯·福斯特(James Foster)和维尼·刘(Vinnie Liu)便表達了這種觀點[5]。他们表示,透過找出這些問題,鑑證人員將不得不更加努力地證明所收集到的證據是準確可靠的。故此他們相信這能提升鑑識教育和工具的水平。此外反鑑證对於防範间谍活动也有著正面意义,因為他們的手法可能跟鑑證人員類似。
數據隱藏
[编辑]數據隱藏是指让数据难以找到之餘,又維持其可獲得性的過程。「數據模糊化和加密讓对抗者可以限制调查人员所识别和收集到的证据,同时令自身能夠接触和使用之。」 [6]
加密和隐写术等等建基於軟硬件的技術常用於進行數據隱藏,它們使得鑑證人员難以檢驗數據。若对抗者混合採用各種不同的数据隐藏方法,那麼鑑證调查將難以有效執行。
加密
[编辑]數據加密是對抗電腦鑑識的常見手段。電腦安全部副部長保罗·亨利(Paul Henry)表示,加密是「鑑識專家的夢魔」[7]。
加密技術透過運算等方式,使得資訊化為密文,讓獲得密文的第三方,在沒有金鑰的情況下,較難得知資訊的意義[8]:3-4、27。
隱寫術
[编辑]隱寫術指的是將資訊或檔案隱藏在另一個檔案之下的技術,這能讓它不被鑑證人員察覺。「隱寫術所產生的黑暗數據,通常埋藏於明面數據之下。(好比如埋藏在數碼照片當中的浮水印)」[9]。一些專家認為會用到隱寫術的人十分稀少,故不值得花費精力去對付。但大多專家都會同意,若果使用得当,隱寫術本身也能夠破壞鑑證過程[3]。
杰弗里·卡尔(Jeffrey Carr)稱,2007年版的恐怖主义双月刊《技术圣战者》(Technical Mujahid)講述了使用隱寫術程式「圣战者的秘密」(Secrets of the Mujahideen)的重要性。支持者認為該一款程式能夠透過隱寫術和文件壓縮,來反制隱寫分析程式[10]。
其他方法
[编辑]對抗者亦可透過工具和技術來把數據隱藏於電腦系統的各個位置。比如「記憶體、碎片化空間、隱藏路徑、壞區塊、备用数据流、隱藏分割區」[1]。
Slacker是一款能夠實現數據隱藏的著名工具[11]。它會把目標檔案分割,然後再把它們插入到其他檔案的碎片化空間,使之不能被鑑證工具檢出[9]。除此之外,對抗者也可透過把特定的軌道設定為「壞軌」,來使之不被鑑證工具偵測[9]。
資料抹除
[编辑]資料抹除是指任何永久清除特定文件或整個文件系統的方法[1]。系統的刪除功能一般只是把被刪除的檔案標記為可以覆寫,並沒有把它從儲存裝置中刪除。故此對抗者會以抹除手段使之從儲存裝置中徹底刪除[8]:3-28。这點可以透過各种方法来实现,比如硬碟抹除工具、文件抹除工具、硬碟消磁/破坏[1]。
硬碟抹除工具
[编辑]硬碟抹除工具以各種方法來覆寫硬碟中的有效數據。一些專家認為它們不是很有效。因為根據美國國防部的政策,唯一可以接受的硬碟抹除方法就只有消磁。部分程式也因會留下文件系統已被抹除的痕跡,而受到了批評。硬碟抹除工具的例子有Darik's Boot and NukeDBAN、srm、BCWipe Total WipeOut、KillDisk、PC Inspector、CyberScrubs cyberCide。此外磁性記錄研究中心的安全擦除方案也是較為有效的手段。它已得到美国國家標準技術研究所和国家安全局承認。
檔案抹除工具
[编辑]檔案抹除工具能把系統內的獨立檔案刪除。與硬碟抹除相比,檔案抹除所花的時間明顯較少,而且只會產生小量的痕跡。其有兩個主要缺點,第一就是它需要用戶發起,第二就是該些程式可能沒有完全刪除檔案的元信息[12][13]。檔案抹除工具的例子有BCWipe、R-Wipe & Clean、Eraser、Aevita Wipe & Delete、CyberScrubs PrivacySuite。像shred和srm般的GNU/Linux工具亦能抹除單個文件[14][15]。固态硬盘相對較難抹除,因為固件會把數據寫入其他單元,使其最終能夠恢復。在這種情況下,则可用到像hdparm的工具,籍其運行ATA Secure Erase指令來抹除檔案[16]。
硬碟消磁/破坏
[编辑]硬碟消磁指的是往數碼媒體裝置施加磁場的過程。這能使得此前儲存於裝置內的全部數據皆被清除。由於消磁機需花費當事人一定費用才能得到,故這種反鑑證方法相對較少應用。
與上述方法相比,較多人會選擇去破壞硬碟本身。國家標準技術研究所表示:「可用到各种方法來進行實體破壞,包括拆解、焚毀、弄碎、撕碎、熔掉」[17]。
蹤跡混淆
[编辑]蹤跡混淆的目的在於矇騙和迷惑鑑證人員/工具,或轉移其焦點。能夠達至蹤跡混淆效果的工具和技巧有「記錄消除器、欺骗、錯誤資訊、骨幹跳躍、殭屍帳號、木馬指令」[1]。
Timestomp為一款著名的蹤跡混淆工具[11],它能夠修改跟存取、建立、修改時間有關的檔案元数据[3]。
Transmogrify是另一款較常應用的蹤跡混淆軟件[11]。大多文件的表頭包含了識別資訊,比方說.jpg即表示檔案為jpg檔,.doc則表示檔案為doc檔。Transmogrify使得用戶能夠修改檔案的表頭資訊,比如可由.jpg表頭修改成.doc表頭,令鎖定圖像格式的鑑證工具不把它視為圖像,繼而跳過之[3]。
攻擊電腦鑑證過程和工具
[编辑]過去的反鑑證工具大多側重於破坏数据、隐藏数据、改变数据元信息這幾個範疇。不過後來的反鑑證工具和技术重点則轉移到攻击鑑證工具本身。有好幾個因素導致這種趨勢的出現:鑑證程序開始為人熟知、广为人知的鑑證工具漏洞、電腦鑑證人員對工具的依賴[1]。
鑑證人員在典型的取証過程中會建立映像副本,以避免鑑證工具影響原電腦(證據)本身。為了確定映像的完整性,鑑證檢驗軟件一般會產生密碼雜湊函數。於是程式設計者便製作了使證據本身受到質疑的反鑑證工具,它們會修改映像的密碼雜湊函數[1]。
物理
[编辑]以下方法可阻止他人實體性地接觸數據:
- 像USBGuard和USBKill般的軟件会採用USB認證策略。一旦連接的USB設備不符合條件,它便會開始執行特定操作[18]。在絲路的管理員羅斯·烏布利希被捕後,開發者們便針對他的被捕情況,開發出一些反鑑證工具。它們能夠檢測電腦是否被奪走。若是,便會自動關機。因此若電腦經過全盤加密,鑑證人員便難以取得儲存於內的數據[19][20]。
- 不少裝置皆設有肯辛顿锁孔,可以以其阻止他人搶走裝置。
- 也可利用電腦机箱的入侵探测功能或传感器(比如光感測器)來進行反鑑證——使之一旦符合特定的物理條件,便會點燃預先裝上的炸藥,炸毀整台電腦。在部分司法區域,此一方法為法律不容,因為它可能傷害未經授權的用戶,並破壞了證據本身[21]。
- 可拆下手提電腦的電池,使之只能在連接到電源時運作。一旦切断電源,其便會關機,造成數據丟失。
鑑證人員可能會實施冷启动攻击,以檢索關機後在隨機存取記憶體中保留几秒钟到几分钟的可讀內容[22][23][24]。對隨機存取記憶體進行低温冻结可進一步使保留時間延長[25]。在關機前覆寫記憶體可以對抗這種鑑證手段;一些反鑑證工具甚至會检测RAM的温度,当温度低于某个阈值时,就会关掉電腦[26][27]。
開發者已尝试製造出能夠防止他人篡改的台式電腦。不過安全研究员兼Qubes OS開發者喬安娜·魯特克絲卡則對這種方法表示質疑[28]。
參見
[编辑]參考資料
[编辑]- ^ 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. 2005.
- ^ (2002). The Grugq. Defeating Forensic Analysis on Unix.. Phrack Magazine. 2002 [2019-09-06]. (原始内容存档于2019-09-11).
- ^ 3.0 3.1 3.2 3.3 Berinato, S. The Rise of Anti Forensics. CSO Online. 2007 [2008-04-19]. (原始内容存档于2008-06-23).
- ^ Hartley, W. Matthew. Current and Future Threats to Digital Forensics (PDF). 2007 [2010-06-02]. (原始内容 (PDF)存档于2011-07-22).
- ^ Black Hat USA 2005 – Catch Me If You Can – 27July2005. Foster, J. C., & Liu, V. (2005). [2016-01-11]. (原始内容存档于2016-01-19).
- ^ Peron,, C.S.J. Digital anti-forensics: Emerging trends in data transformation techniques. (PDF). [2020-09-05]. (原始内容 (PDF)存档于2008-08-19).
- ^ Henry, P. A. Secure Computing with Anti-Forensic. 2006 [2020-09-05]. (原始内容存档于2016-05-26).
- ^ 8.0 8.1 王旭正; 林祝興; 左瑞麟. 科技犯罪安全之數位鑑識-證據力與行動智慧應用, EU31309. 博碩文化股份有限公司. 2013. ISBN 9789862017609.
- ^ 9.0 9.1 9.2 Berghel, H. Hiding Data, Forensics, and Anti-Forensics. Communications of the ACM. 2007, 50 (4): 15-20.
- ^ Carr, J. Anti-Forensic Methods Used by Jihadist Web Sites. 2007 [2008-04-21]. (原始内容存档于2012-07-30).
- ^ 11.0 11.1 11.2 Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox. Vincent Liu. [2016-01-11]. (原始内容存档于2016-01-19).
- ^ Oliver Powell. Myths about Disk Wiping and Solid State Drives. steller. 2020-03-26 [2020-09-05]. (原始内容存档于2016-03-19).
- ^ WHAT IS DATA DESTRUCTION, THE BEST WAYS TO ERASE YOUR DATA SECURELY. Allgreen. [2020-09-05]. (原始内容存档于2022-03-30).
- ^ shred(1) - Linux man page. die.net. [2020-09-05]. (原始内容存档于2020-05-10).
- ^ Ubuntu Manpage: srm - secure remove (secure_deletion toolkit). Ubuntu manuals. [2020-09-05]. (原始内容存档于2017-08-29).
- ^ Secure Erase and wipe your SSD, will it work?. Dr Bob Tech Blog. 2017-03-22 [2020-09-05]. (原始内容存档于2017-10-23).
- ^ Kissel, R.; Scholl, M.; Skolochenko, S.; Li, X. Guidelines for Media Sanitization. Gaithersburg: Computer Security Division. National Institute of Standards and Technology. 2006.
- ^ usbguard. github. [2020-09-05]. (原始内容存档于2020-08-26).
- ^ usbkill. github. [2020-09-05]. (原始内容存档于2020-09-09).
- ^ silk-guardian. github. [2020-09-05]. (原始内容存档于2020-08-10).
- ^ Destruction of Evidence Law and Legal Definition. uslegal. [2020-09-05]. (原始内容存档于2017-07-06).
- ^ Halderman, J.A; et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (PDF). 17th USENIX Security Symposium. [2020-09-05]. (原始内容存档 (PDF)于2020-07-18).
- ^ Carbone, R.; Bean, C.; Salois, M. An in-depth analysis of the cold boot attack Can it be used for sound forensic memory acquisition? (PDF). Defence R&D Canada – Valcartier. 2011 [2020-09-05]. (原始内容 (PDF)存档于2020-07-22).
- ^ Yitbarek, Salessawi Ferede; Aga, Misiker Tadesse; Das, Reetuparna; Austin, Todd. Cold Boot Attacks are Still Hot:Security Analysis of Memory Scramblers in Modern Processors (PDF). 2017 IEEE International Symposium on High Performance Computer Architecture. 2017: 313–324 [2020-09-05]. doi:10.1109/HPCA.2017.10. (原始内容 (PDF)存档于2020-09-18).
- ^ Mike Szczys. FREEZING ANDROID TO CRACK THE ENCRYPTION. hackaday. 2013-02-20 [2020-09-05]. (原始内容存档于2017-11-05).
- ^ Protect Linux from cold boot attacks with TRESOR. Linuxaria. 2012-04-05 [2020-09-05]. (原始内容存档于2016-08-26).
- ^ Protection against cold boot attacks. Tails. [2020-09-05]. (原始内容存档于2020-06-14).
- ^ Thoughts on the "physically secure" ORWL computer. 2016-09-03 [2020-09-05]. (原始内容存档于2019-10-08).
外部連結
[编辑]- Evaluating Commercial Counter-Forensic Tools
- Counter-Forensic Tools: Analysis and Data Recovery(页面存档备份,存于互联网档案馆)
- http://www.informatik.uni-trier.de/~ley/db/conf/dfrws/dfrws2005.html(页面存档备份,存于互联网档案馆)
- http://www.dfrws.org/2006/proceedings/6-Harris.pdf(页面存档备份,存于互联网档案馆)
- Anti-Forensics Class(页面存档备份,存于互联网档案馆) Little over 3hr of video on the subject of anti-forensic techniques