跳转到内容

反计算机取证

本页使用了标题或全文手工转换
维基百科,自由的百科全书

反电脑鉴识,又称反鉴识,指的是对鉴识分析的反制。

定义

反鉴识是一门于较后期才得到合法承认的研究领域,其有着各种不同的定义,当中又以普渡大学的马克·罗杰斯(Marc Rogers)所下的定义最为人接受。罗杰斯的定义如下:“[任何]企图对犯罪证据的有没、数量、质量产生不利影响,或使证据难以/无法分析[的行动]”[1]。《飞客杂志英语Phrack Magazine》于2002年详细介绍了反鉴识的技巧,当中定义反鉴识为“移除或藏匿证据,以图减低鉴识侦查的效力”[2]

斯科特·贝里纳托(Scott Berinato)在文章《反鉴识的崛起》中给出了一个更为简略的定义:“反鉴识不仅仅只是一门技术,其还是一门应对黑客犯罪的手段。这点基本可总结为:在让他们难以找到你之馀,又让他们不可能证明找对人”[3]

子分类

反鉴识方法一般分成几个大类。马库斯·罗杰斯所创立的分类是当中较为人接受的一个,他把反鉴识方法分成四类:数据隐藏(data hiding)、资料抹除(artifact wiping)、踪迹混淆(trail obfuscation)、攻击电脑鉴识过程和工具[1]。直接攻击鉴识工具的手段可称为反鉴证[4]

宗旨与目标

在数位鉴识领域当中,反鉴证手段的宗旨与目标有著很大争议。不少人[谁?]认为反鉴证工具百害而无一利。而另一些人则认为,应该以这些工具去说明数位鉴识的不足。在2005年的黑帽安全技术大会上,反鉴证工具的创作者詹姆斯·福斯特(James Foster)和维尼·刘(Vinnie Liu)便表达了这种观点[5]。他们表示,透过找出这些问题,鉴证人员将不得不更加努力地证明所收集到的证据是准确可靠的。故此他们相信这能提升鉴识教育和工具的水平。此外反鉴证对于防范间谍活动也有著正面意义,因为他们的手法可能跟鉴证人员类似。

数据隐藏

数据隐藏英语Data hiding是指让数据难以找到之馀,又维持其可获得性的过程。“数据模糊化英语Obfuscation加密让对抗者可以限制调查人员所识别和收集到的证据,同时令自身能够接触和使用之。” [6]

加密和隐写术等等建基于软硬件的技术常用于进行数据隐藏,它们使得鉴证人员难以检验数据。若对抗者混合采用各种不同的数据隐藏方法,那么鉴证调查将难以有效执行。

加密

数据加密是对抗电脑鉴识的常见手段。电脑安全部副部长保罗·亨利(Paul Henry)表示,加密是“鉴识专家的梦魔”[7]

加密技术透过运算等方式,使得资讯化为密文,让获得密文的第三方,在没有金钥的情况下,较难得知资讯的意义[8]:3-4、27

隐写术

隐写术指的是将资讯或档案隐藏在另一个档案之下的技术,这能让它不被鉴证人员察觉。“隐写术所产生的黑暗数据,通常埋藏于明面数据之下。(好比如埋藏在数码照片当中的浮水印)”[9]。一些专家认为会用到隐写术的人十分稀少,故不值得花费精力去对付。但大多专家都会同意,若果使用得当,隐写术本身也能够破坏鉴证过程[3]

杰弗里·卡尔(Jeffrey Carr)称,2007年版的恐怖主义双月刊《技术圣战者》(Technical Mujahid)讲述了使用隐写术程式“圣战者的秘密”(Secrets of the Mujahideen)的重要性。支持者认为该一款程式能够透过隐写术和文件压缩,来反制隐写分析程式[10]

其他方法

对抗者亦可透过工具和技术来把数据隐藏于电脑系统的各个位置。比如“记忆体、碎片化空间、隐藏路径、坏区块、备用数据流、隐藏分割区”[1]

Slacker是一款能够实现数据隐藏的著名工具[11]。它会把目标档案分割,然后再把它们插入到其他档案的碎片化空间,使之不能被鉴证工具检出[9]。除此之外,对抗者也可透过把特定的轨道设定为“坏轨”,来使之不被鉴证工具侦测[9]

资料抹除

资料抹除是指任何永久清除特定文件或整个文件系统的方法[1]。系统的删除功能一般只是把被删除的档案标记为可以覆写,并没有把它从储存装置中删除。故此对抗者会以抹除手段使之从储存装置中彻底删除[8]:3-28。这点可以透过各种方法来实现,比如硬碟抹除工具、文件抹除工具、硬碟消磁/破坏[1]

硬碟抹除工具

硬碟抹除工具以各种方法来覆写硬碟中的有效数据。一些专家认为它们不是很有效。因为根据美国国防部的政策,唯一可以接受的硬碟抹除方法就只有消磁。部分程式也因会留下文件系统已被抹除的痕迹,而受到了批评。硬碟抹除工具的例子有Darik's Boot and NukeDBAN、srm、BCWipe Total WipeOut、KillDisk、PC Inspector、CyberScrubs cyberCide。此外磁性记录研究中心的安全擦除方案也是较为有效的手段。它已得到美国国家标准技术研究所国家安全局承认。

档案抹除工具

档案抹除工具能把系统内的独立档案删除。与硬碟抹除相比,档案抹除所花的时间明显较少,而且只会产生小量的痕迹。其有两个主要缺点,第一就是它需要用户发起,第二就是该些程式可能没有完全删除档案的元信息[12][13]。档案抹除工具的例子有BCWipe、R-Wipe & Clean、Eraser、Aevita Wipe & Delete、CyberScrubs PrivacySuite。像shred和srm般的GNU/Linux工具亦能抹除单个文件[14][15]。固态硬盘相对较难抹除,因为固件会把数据写入其他单元,使其最终能够恢复。在这种情况下,则可用到像hdparm的工具,籍其运行ATA Secure Erase指令来抹除档案[16]

硬碟消磁/破坏

硬碟消磁指的是往数码媒体装置施加磁场的过程。这能使得此前储存于装置内的全部数据皆被清除。由于消磁机需花费当事人一定费用才能得到,故这种反鉴证方法相对较少应用。

与上述方法相比,较多人会选择去破坏硬碟本身。国家标准技术研究所表示:“可用到各种方法来进行实体破坏,包括拆解、焚毁、弄碎、撕碎、熔掉”[17]

踪迹混淆

踪迹混淆的目的在于蒙骗和迷惑鉴证人员/工具,或转移其焦点。能够达至踪迹混淆效果的工具和技巧有“记录消除器、欺骗错误资讯、骨干跳跃、僵尸帐号、木马指令”[1]

Timestomp为一款著名的踪迹混淆工具[11],它能够修改跟存取、建立、修改时间有关的档案元数据[3]

Transmogrify是另一款较常应用的踪迹混淆软件[11]。大多文件的表头包含了识别资讯,比方说.jpg即表示档案为jpg档,.doc则表示档案为doc档。Transmogrify使得用户能够修改档案的表头资讯,比如可由.jpg表头修改成.doc表头,令锁定图像格式的鉴证工具不把它视为图像,继而跳过之[3]

攻击电脑鉴证过程和工具

过去的反鉴证工具大多侧重于破坏数据、隐藏数据、改变数据元信息这几个范畴。不过后来的反鉴证工具和技术重点则转移到攻击鉴证工具本身。有好几个因素导致这种趋势的出现:鉴证程序开始为人熟知、广为人知的鉴证工具漏洞、电脑鉴证人员对工具的依赖[1]

鉴证人员在典型的取证过程中会建立映像副本,以避免鉴证工具影响原电脑(证据)本身。为了确定映像的完整性,鉴证检验软件一般会产生密码杂凑函数。于是程式设计者便制作了使证据本身受到质疑的反鉴证工具,它们会修改映像的密码杂凑函数[1]

物理

以下方法可阻止他人实体性地接触数据:

  • 像USBGuard和USBKill般的软件会采用USB认证策略。一旦连接的USB设备不符合条件,它便会开始执行特定操作[18]。在丝路的管理员罗斯·乌布利希被捕后,开发者们便针对他的被捕情况,开发出一些反鉴证工具。它们能够检测电脑是否被夺走。若是,便会自动关机。因此若电脑经过全盘加密,鉴证人员便难以取得储存于内的数据[19][20]
  • 不少装置皆设有肯辛顿锁孔,可以以其阻止他人抢走装置。
  • 也可利用电脑机箱的入侵探测功能或传感器(比如光感测器)来进行反鉴证——使之一旦符合特定的物理条件,便会点燃预先装上的炸药,炸毁整台电脑。在部分司法区域,此一方法为法律不容,因为它可能伤害未经授权的用户,并破坏了证据本身[21]
  • 可拆下手提电脑的电池,使之只能在连接到电源时运作。一旦切断电源,其便会关机,造成数据丢失。

鉴证人员可能会实施冷启动攻击,以检索关机后在随机存取记忆体中保留几秒钟到几分钟的可读内容[22][23][24]。对随机存取记忆体进行低温冻结可进一步使保留时间延长[25]。在关机前覆写记忆体可以对抗这种鉴证手段;一些反鉴证工具甚至会检测RAM的温度,当温度低于某个阈值时,就会关掉电脑[26][27]

开发者已尝试制造出能够防止他人篡改的台式电脑。不过安全研究员兼Qubes OS开发者乔安娜·鲁特克丝卡则对这种方法表示质疑[28]

参见

参考资料

  1. ^ 1.0 1.1 1.2 1.3 1.4 1.5 1.6 1.7 Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. 2005. 
  2. ^ (2002). The Grugq. Defeating Forensic Analysis on Unix.. Phrack Magazine. 2002 [2019-09-06]. (原始内容存档于2019-09-11). 
  3. ^ 3.0 3.1 3.2 3.3 Berinato, S. The Rise of Anti Forensics. CSO Online. 2007 [2008-04-19]. (原始内容存档于2008-06-23). 
  4. ^ Hartley, W. Matthew. Current and Future Threats to Digital Forensics (PDF). 2007 [2010-06-02]. (原始内容 (PDF)存档于2011-07-22). 
  5. ^ Black Hat USA 2005 – Catch Me If You Can – 27July2005. Foster, J. C., & Liu, V. (2005). [2016-01-11]. (原始内容存档于2016-01-19). 
  6. ^ Peron,, C.S.J. Digital anti-forensics: Emerging trends in data transformation techniques. (PDF). [2020-09-05]. (原始内容 (PDF)存档于2008-08-19). 
  7. ^ Henry, P. A. Secure Computing with Anti-Forensic. 2006 [2020-09-05]. (原始内容存档于2016-05-26). 
  8. ^ 8.0 8.1 王旭正; 林祝兴; 左瑞麟. 科技犯罪安全之數位鑑識-證據力與行動智慧應用, EU31309. 博硕文化股份有限公司. 2013. ISBN 9789862017609. 
  9. ^ 9.0 9.1 9.2 Berghel, H. Hiding Data, Forensics, and Anti-Forensics. Communications of the ACM. 2007, 50 (4): 15-20. 
  10. ^ Carr, J. Anti-Forensic Methods Used by Jihadist Web Sites. 2007 [2008-04-21]. (原始内容存档于2012-07-30). 
  11. ^ 11.0 11.1 11.2 Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox. Vincent Liu. [2016-01-11]. (原始内容存档于2016-01-19). 
  12. ^ Oliver Powell. Myths about Disk Wiping and Solid State Drives. steller. 2020-03-26 [2020-09-05]. (原始内容存档于2016-03-19). 
  13. ^ WHAT IS DATA DESTRUCTION, THE BEST WAYS TO ERASE YOUR DATA SECURELY. Allgreen. [2020-09-05]. (原始内容存档于2022-03-30). 
  14. ^ shred(1) - Linux man page. die.net. [2020-09-05]. (原始内容存档于2020-05-10). 
  15. ^ Ubuntu Manpage: srm - secure remove (secure_deletion toolkit). Ubuntu manuals. [2020-09-05]. (原始内容存档于2017-08-29). 
  16. ^ Secure Erase and wipe your SSD, will it work?. Dr Bob Tech Blog. 2017-03-22 [2020-09-05]. (原始内容存档于2017-10-23). 
  17. ^ Kissel, R.; Scholl, M.; Skolochenko, S.; Li, X. Guidelines for Media Sanitization. Gaithersburg: Computer Security Division. National Institute of Standards and Technology. 2006. 
  18. ^ usbguard. github. [2020-09-05]. (原始内容存档于2020-08-26). 
  19. ^ usbkill. github. [2020-09-05]. (原始内容存档于2020-09-09). 
  20. ^ silk-guardian. github. [2020-09-05]. (原始内容存档于2020-08-10). 
  21. ^ Destruction of Evidence Law and Legal Definition. uslegal. [2020-09-05]. (原始内容存档于2017-07-06). 
  22. ^ Halderman, J.A; et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (PDF). 17th USENIX Security Symposium. [2020-09-05]. (原始内容存档 (PDF)于2020-07-18). 
  23. ^ Carbone, R.; Bean, C.; Salois, M. An in-depth analysis of the cold boot attack Can it be used for sound forensic memory acquisition? (PDF). Defence R&D Canada – Valcartier. 2011 [2020-09-05]. (原始内容 (PDF)存档于2020-07-22). 
  24. ^ Yitbarek, Salessawi Ferede; Aga, Misiker Tadesse; Das, Reetuparna; Austin, Todd. Cold Boot Attacks are Still Hot:Security Analysis of Memory Scramblers in Modern Processors (PDF). 2017 IEEE International Symposium on High Performance Computer Architecture. 2017: 313–324 [2020-09-05]. doi:10.1109/HPCA.2017.10. (原始内容 (PDF)存档于2020-09-18). 
  25. ^ Mike Szczys. FREEZING ANDROID TO CRACK THE ENCRYPTION. hackaday. 2013-02-20 [2020-09-05]. (原始内容存档于2017-11-05). 
  26. ^ Protect Linux from cold boot attacks with TRESOR. Linuxaria. 2012-04-05 [2020-09-05]. (原始内容存档于2016-08-26). 
  27. ^ Protection against cold boot attacks. Tails. [2020-09-05]. (原始内容存档于2020-06-14). 
  28. ^ Thoughts on the "physically secure" ORWL computer. 2016-09-03 [2020-09-05]. (原始内容存档于2019-10-08). 

外部链接