当前位置:文档之家 › 反取证技术

反取证技术

  • 格式:ppt
  • 大小:49.50 KB
  • 文档页数:10

下载文档原格式

  / 10

合集下载

一种基于压缩图像的反取证方法

一种基于压缩图像的反取证方法

1 2 ・
Co mp u t e r Er a No . 9 2 01 5

种 基 于压 缩 图像 的反 取 证 方 法★
程 格 平 。王 毅
( 湖北文理学院数 学与计算机科学学院,湖北 襄阳 4 4 1 0 5 3 )
摘 要 :图像 处理软件 的广泛使 用使 数 字图像 的篡 改和伪造 变得 更加容 易 , 这给 图像 数据 的安 全性 带来严重影响 。数
关 键 词 :压 缩 图像 ;图像 取 证 ;反 取 证 技 术 ;量 化 效 应 ;检 测 性 能
中图分类号 : T P 3 9 1编号: 1 0 0 6 — 8 2 2 8 ( 2 0 1 5 ) O 9 — 1 2 一 O 2
An t i . f o r e ns i c m e t hod ba s e d o n i ma g e c o m pr e s s i o n
f o r e n s i c s ,b u t i t h a s n o t be e n p a i d d u e a t t e n t i o n .I n t hi s pa p e r ,a n a n t i — f o r e ns i c s t e c no h l o g y i s p r o po s e d f o r J EP G c o mp r e s s i o n ,
Ch e n g Ge pi n g ,W a n g Yi
( S c h o o l o f Ma t h e ma t i c a l a n d C o m p u t e r S c i e n c e s ,H u b e i U n i v e r s i t y o f A r t s a n d S c i e n c e ,X i a n g y a n g ,Hu b e i 4 4 1 0 5 3 ,C h i n a )

基于NTFS的计算机反取证研究与实现

基于NTFS的计算机反取证研究与实现
文件 与 MF T表 项 均 存 在 一一 对 应 关 系 ,因此 , 过 循 环遍 历 通
快速 发展 的阶段 ,反取证技术随之兴起 。通过研究 反取证技 术以保证计算机取证 的科学性和有效性具有重要意义 _。 j J 反取证主要是针对证据的收集 与分析 。罪犯利用取证调 查开始 时影响判断的因素来干扰、阻扰取证 ,导致 调查取证 偏 离真实犯罪活动。这些 因素包括数据集的信息异常、失效 甚至产 生转嫁于合法 实体 的结果。 目前 ,反取 证的主要技术 有数据 隐藏、人工擦除、源追踪混淆和针对计算机取证缺陷 进 行 攻 击 等 。 j 数据擦除技术采用多次覆写或零位填充等手段 ,可有效 擦 除数据 , 但很多情况下入侵者需要保留窃取 的信息,因此,
作者倚介 : 李步升( 7 一) 男 , 18 , 9 讲师 , 主研方向 : 计算机 网络与通 信 ,网络安全 收稿 日期 :21- —6 00 51 0 Em i hndw r i o - a :sany @g a. r l nl n c
入侵者通常会对 文件进行加密或隐写处理 。但单纯 的加密技
术或隐写技术都存在不足l。例如,加密技 术在算法选定后, 、 J 其安全性依赖于 密码 的长度和随机性 。另一方面,当待 隐藏 文件较大时 ,传统 的隐写技术需要大量开销去选择合适大小 的载体 ,且一旦被对 方识破此 ,该 方法将完全失效 _。 0 J
为 了克服上述缺点 ,本文提 出一种基于文件系统 的反取 证 方法 。此方法通过循环遍 历分区下所有的文件 ,计算 出每
不是一种简单 的相对偏移 关系 。设某一文件的数据运行列表
中某一结构 的首簇号为 Ⅳ,则若 Ⅳ 占 1 个字节且 Ⅳ>0 8 H, x0 则取负值 ,Ⅳ ( mo x 0一 x 0 。Ⅳ _ d 0 8 )0 8 。若 Ⅳ 占 2个字节且 Ⅳ> 0 80 ,则 | ( x00 v Ⅳmo x 00一0 8 0 。若 Ⅳ占 3 = d0 8 0 ) x0 0 个字节且

反取证技术

反取证技术

将数据从目标主机上移走, 到确认没被污染的机器上进 行分析。鉴定目标系统上命 令的正确性 将数据从目标主机上移走, 到确认没被污染的机器上进 行分析。鉴定目标系统上命 令的正确性
数据加密 数据隐藏 数据擦除
这些技术结合起来使用,让取证工作的效果大打折扣。
反取证技术
数据加密: 数据加密的基本过程就是对原来为明文
的文件或数据按某种算法进行处理,使其成 为不可读的一段代码,通常称为“密文”。 数据加密是应用信息安全的核心技术――密
码技术,将资料加密。
反取证技术
必须在关机之前定位到这种 文件,否则就会丢失 在整个驱动器上进行搜索。 使用恢复软件
反取证技术
种类
隐藏数据 实际上存 在的数据 被隐藏为 不可见 在计算机 之外
隐藏技术
数据被存储在可移动媒体之中,或 是局域网、互联网中的一个系统之 中调查方法发现检查所有媒体。寻找 远程连接的证据
欺骗调查人员 修改系统命令 数据没有被修改,但 系统命令或整个系统 被嫌疑人进行了修改, 使调查人员无法看到 修改操作系统 这些数据
反取证技术
数据擦除
数据擦除是最有效的反取证方法。它是指 清除所有可能的证据(索引节点目录文件和数 据块中的原始数据)。 原始数据不存在了,取证自然无法进行。 当在存储器中的数据不能被删除时,专业 的数据擦除软件能习惯于用固定数据模式写在 整个磁盘区域,因此能有效地擦除在磁盘上的 数据。
反取证技术
反取证技术
数据加密的三种基本组合的原理:
“置换表”算法 • 每一个数据段(总是一个字节)对应着“置换表”中的一 个偏移量,偏移量所对应的值就输出成为加密后的文件 变换数据位置 • 从输入中读入明文放到一个buffer中,再在buffer中对他 们重排序,然后按这个顺序再输出。解密程序按相反的顺 序还原数据。 循环移位和异或(XOR)操作 • 这是一种更好的加密算法,只有计算机可以做,就是字/ 字节循环移位和xor操作

略论计算机反取证惯用方法

略论计算机反取证惯用方法

用 的加 密软 件 有 文件 加 锁 王 、Wo t n rp等加 密 软 pi cy t E
件。
ห้องสมุดไป่ตู้
为 “ A.1 1. ・ 1 11l AA 1 1 . 1 1 . ”一 直按 着 键盘 上字 母键 … ×
“ ” 不 放 , 直 到 不 能 输 入 为止 。 再 返 回到 “ B 1 B B” 文
维普资讯
略论计算机反取证惯用方法
西南政法大学 贾治辉 王俊
摘 要 :随着计算机 技术的 飞速 发展 ,计 算机 反取证技 术也悄 然兴起 ,而且一般 的反取证 方法正在 向大众普 及 ,直接 影响 了计算机取 证工作 的顺 利进展。本 文从反面 出发 ,着重 分析 了计算机反取 证的惯用 方 法 ,并 分 类 介 绍 了数 据 隐藏 、 数 据 擦 除 和 数 据 加 密 的 具 体 操 作 方 法及 一 些 反取 证 软 件 工 具 。
件 夹 窗 口 中 ,右 击 “ CC”文 件夹 ,然 后选 中 “ 命 C 重
二 、数据 隐藏的惯 用方法
( )电子 文件隐藏 的惯 用方法 ~ 1 、属 性 改 为隐藏 属 性 。打 开 “ 具\ 工 文件 夹选 项 \ 查看\ 不显 示隐 藏的 文件和 文件 夹”点 击应 用或确 认 , 这样就可简单 实现 文件 的隐藏。为 了使 这种 隐藏 文件 的 方法更加 隐蔽 ,防止访 问者在 “ 件夹选项 ”设 置界面 文 中选 中 “ 显示所 有文件 ” ,可 以通过修 改注册表 的办法 来 实现 。 以Wid wsX 操 作 系统 为 例 ,具 体 方 法 如 n o p 下 :在 “ 行” 菜单 中输 入 “e e i 运 rg dt ”命令 打 开注 册
“HK Y E~

计算机取证 填空题 判断题

计算机取证 填空题 判断题

一:填空题1:计算机取证模型包括:基本过程模型;事件响应模型;执法过程模型;过程抽象模型2:在证据收集过程中必须收集的易失证据主要有:系统日期和时间;当前运行的活动目录;当前的网络连接;当前打开的端口;当前打开的套接字上的应用程序;当前登录用户3:目前的计算机翻反取证技术主要有:删除技术;隐藏技术4:在windows工作模式下显示系统的基本信息包括:用户;网络环境;系统进程;系统硬件环境5:隐藏术通常通过两种方法对数据进行保护:使数据不可见,隐藏起所有属性;对数据加密6:在MACtimes中的Mtime指文件的最后修改事件;Atimes指:文件最后访问时间按;Ctimes 指:文件的最后创建时间7:防止密码被破译的措施:强壮的加密算法;动态的会话密钥;良好的密码使用管理制度8:目前主要的数据分析技术包括:文件属性分析技术;文件数字摘要分析技术;日志分析技术;数据分析技术9:安全管理主要包括三个方面:技术安全管理;法律法规安全管理;网络安全管理10:计算机信息系统安全管理的三个原则:多人负责原则;任期有限原则;职责分离原则11:信息系统安全包括:身份认证;访问控制;数据保密;数据完整性;不可否认性12:任何材料要成为证据,均需具备三性:客观相;关联性;合法性13:计算机取证是指对能够为法庭接受的,足够可靠和有说服性的存在于计算机和相关外设中的电子证据的确认;保护;提取和归档的过程14:DES是对称密钥加密算法,DES算法大致可以分为四个部分:初始置换;迭代过程;子密钥生成;逆置换15:目前反取证技术分为:擦出技术;隐藏技术;加密技术16:网络安全管理的隐患有:安全机制;安全工具;安全漏洞和系统后门二.判断1.取证的目的是为了据此找出入侵者(或入侵的机器),并解释入侵的过程。

( F )2.网络入侵取证系统中,日志文件是可以很轻易被人修改的,但是这种修改是很容易被发现的。

( F )3.硬盘由很多盘片组成,每个盘片被划分为若干个同心圆,称为磁道。

计算机反取证技术

计算机反取证技术

计算机反取证技术
计算机反取证技术简介
计算机反取证就是删除或者隐藏入侵证据使取证工作无效。 目前的计算机反取证技术主要有数据擦除、数据隐藏等。 数据擦除是最有效的反取证方法,它是指清除所有可能的 证据(包括索引节点、目录文件和数据块中的原始数据等), 原始数据不存在了,取证工作自然无法进行。 数据隐藏是指入侵者将暂时还不能被删除的文件伪装成其 他类型或者将它们隐藏在图形或音乐文件中,也有人将数 据文件隐藏在磁盘上的交换空间或者未分配空间中,这类 技术统称为数据隐藏 。
数据擦除
数据擦除是阻止取证调查人员获取、分析犯罪证据的最有 效的方法,一般情况下是用一些毫无意义的、随机产生的 ‘O’、‘1’字符串序列来覆盖介质上面的数据,使取证调查 人员无法获取有用的信息。 目前最极端的数据擦除工具是Data Security Inc、开发的基 于硬件的degaussers工具,该工具可以彻底擦除计算机硬盘 上的所有电磁信息。其它用软件实现的数据擦除工具既有商 业软件包,也有开放源代码的自由软件,其中最有名的是基 于UNIX系统的数据擦除工具The Deft—ler’S Toolkit,The Defiler’S Toolkit提供两个工具来彻底清除UNIX类系统中的文 件内容。
数据隐藏
数据隐藏主要是阻止调查取证人员在取证分析阶 段对获取的数据进行有效的分析。目前实现数据 隐藏的常用方法主要有以下几种。 (1)数据加密。数据加密是用一定的加密算法对 数据进行加密,使明文变为密文。 (2)更改文件的扩展名。
数据隐藏
(3)隐写术。隐写术的意思是“隐藏在普通的视觉之下”。 Steganography(隐写术)这个单词是由希腊词语里的 “Covered writing”转化而来的,是指有隐藏特性的数据。 密码隐写术或信息伪装夹带技术是使用一些其他的非加 密数据对目标进行隐藏,我们把这种非加密的数据称为 “载体”。 (4)改变系统环境。系统环境改变之后,系统会给出假的 关于数据内容和活动的信息。

电子证据取证技术的相关问题

试论电子证据取证技术的相关问题中图分类号:tn 文献标识码:a 文章编号:1007-0745(2008)12-00摘要:计算机技术的产生极大的方便了人民生活,但网络犯罪也随之而来,要查证这些犯罪电子证据的取证问题是个难点,笔者在本文中对计算机证据的特点,取证过程,相关理论进行了论述。

关键词:电子证据取证技术计算机技术的产生极大的方便了人民生活,但是计算机诈骗,攻击政府、军事部门网站,色情信息、网站的泛滥等等网络犯罪也随之而来。

侦破这些案件必须要用到计算机取证技术,搜寻确认罪犯及其犯罪证据,并据此提起诉讼。

电子证据本身和取证过程有许多不同于传统物证和取证的特点,给司法工作和计算机科学领域都提出了新的挑战。

一、计算机取证的概念、特点、发展电子证据也称为计算机证据,是指在计算机或计算机系统运行过程中产生的,以其记录的内容来证明案件事实的电磁记录物。

电子证据的表现形式是多样的,尤其是多媒体技术的出现,更使电子证据综合了文本、图形、图像、动画、音频及视频等多种媒体信息,这种以多媒体形式存在的计算机证据几乎涵盖了所有传统证据类型。

与传统证据一样,电子证据必须是:可信的、准确的、完整的、符合法律法规的,即可为法庭所接受的。

同时我们不难发现,电子证据还具有与传统证据有别的其它特点:①磁介质数据的脆弱性;②电子证据的无形性;③高科技性;④人机交互性;⑤电子证据是由计算机和电信技术引起的,由于其它技术的不断发展,所以取证步骤和程序必须不断调整以适应技术的进步。

计算机取证是伴随着计算机犯罪事件的出现而发展起来的,在我国计算机证据出现在法庭上只是近10年的事情,在信息技术较发达的美国已有了30年左右的历史。

最初的电子证据是从计算机中获得的正式输出,法庭不认为它与普通的传统物证有什么不同。

但随着计算机技术的发展,以及随着与计算机相关的法庭案例的复杂性的增加,电子证据与传统证据之间的类似性逐渐减弱。

于是90年代中后期,对计算机取证的技术研究、专门的工具软件的开发以及相关商业服务陆续出现并发展起来。

非侵入式人脸欺骗攻击的取证与反取证技术


06
CHAPTER
结论与展望
数据集规模较小
目前大多数非侵入式人脸欺骗攻击的研究数据集相对较小,这可能导致模型泛化能力不足,无法很好地应对现实世界中的复杂场景。
单一特征提取方法
许多现有研究仅关注于某一特定的特征提取方法,如纹理、几何形状等,而忽视了其他潜在有用的特征。综合利用多种特征提取方法可能有助于提高取证与反取证技术的性能。
压缩和重采样
02
对图像进行压缩和重采样操作,可以改变图像的统计特性和像素间的相关性,增加取证技术的难度和不确定性。
使用高质量的图像源
03
使用高质量的图像源进行人脸欺骗攻击,可以减少图像质量取证技术的检测效果,因为高质量图像本身的统计特性和像素间的相关性就比较稳定,不易被检测出来。
多模态生物特征融合
加强跨领域合作
在研发过程中,密切关注实际应用场景的需求,确保所研究的取证与反取证技术能够在实际应用中发挥效果。
关注实际应用场景
THANKS
感谢您的观看。
对抗样本的鲁棒性不足
当前的取证与反取证技术在对抗样本攻击下往往表现较差,容易受到恶意扰动的影响。提高模型在对抗样本下的鲁棒性是一个亟待解决的问题。
大规模数据集构建
未来研究可以着力于构建更大规模、更具多样性的非侵入式人脸欺骗攻击数据集,以支持更深入的研究和更强大的模型训练。
多模态特征融合
探索将多种特征提取方法(如纹理、几何形状、时域信息等)进行有效融合,以期在非侵入式人脸欺骗攻击的取证与反取证方面取得更好性能。
采用多模态生物特征融合技术,将多个生物特征进行融合,以增加欺骗攻击的复杂度和真实性,使得生物特征取证技术难以判断哪些特征是真实的,哪些是伪造的。
对抗样本攻击

一种基于对称加密和隐写术的反取证方法


2.方法的原理 方法的原理
(2)生成异或算子 (2)生成异或算子
①从计算机系统中任选出2个普 从计算机系统中任选出 个普 通文件D 并分别从2个文 通文件 1和D2,并分别从 个文 并分别从 件中复制出与M大小一样的数 件中复制出与 大小一样的数 据块X 据块 1和X2; ②把数据块X1和X2进行异或运 把数据块 算得到X 即 算得到 3,即X3=X1⊕X2; ③使用与加密F的相同对称加密 使用与加密 的相同对称加密 算法E和密钥 进行加密, 算法 和密钥KE对X3进行加密 和密钥 得到X 即 得到 4,即X4=E(X3,KE), 为异或算子。 称X4为异或算子。
2.方法的效率和安全性
(2)保存上的安全性 )
现代的取证工具可以从普通删除甚至格式化的硬盘中恢复出文件,为 现代的取证工具可以从普通删除甚至格式化的硬盘中恢复出文件 为 避免对手从硬盘上恢复出原文件F,本方法在保存隐秘文件S时先将文件 避免对手从硬盘上恢复出原文件 ,本方法在保存隐秘文件 时先将文件 F的指针移动到起始位置再写入 即把 写入到了硬盘上原来保存 的位置。 的指针移动到起始位置再写入,即把 写入到了硬盘上原来保存F的位置 的指针移动到起始位置再写入 即把S写入到了硬盘上原来保存 的位置。 由于F和S大小相等 保存 后完全覆盖了原来 的位置 使得对手很难恢复 大小相等,保存 后完全覆盖了原来F的位置 由于 和 大小相等 保存S后完全覆盖了原来 的位置,使得对手很难恢复 F。另一方面,所使用的KE和KC只在处理过程中存在于内存,并不保存 。另一方面,所使用的 只在处理过程中存在于内存, 在硬盘上,文件处理完成后,随着相应内存的释放就消失了。 在硬盘上,文件处理完成后,随着相应内存的释放就消失了。
2.方法的原理 方法的原理

网警是利用哪些技术抓黑客的档

网警的主要技术是取证,下面我们就来了解一下什么是取证技术。

一般看刑警电视剧比较多的人都知道,发生了什么案子首先是封锁和保护现场,不让任何人破坏现场,然后就是给现场做技术鉴定,使用各种手段尽量还原当时案发现场的情况并寻找凶手留下来的信息(比如指纹、凶器等等)。

而网警破案的第一步也是封锁现场,让调查人员来到计算机犯罪现场或入侵现场,寻找并扣留相关的计算机硬件。

这一步在计算机取证上也叫物理证据获取,一般网警在这一步做的主要事情是:保护寄存器、数据文件、交换区、隐藏文件、空闲磁盘空间、打印机缓存、网络数据区、用户进程存储区、堆栈、日志、缓冲区、文件系统中的数据不被破坏和修改。

还有就是获取内存和硬盘中的数据,顺序为先内存后硬盘,因为内存为易灭失数据而硬盘为相对稳定数据。

对内存数据的获取主要用内存检查命令和内存数据分析工具(如内存数据分析编辑器)来实现,而硬盘数据的获取也是通过专门的工具(如“美亚网警”多功能硬盘克隆机)对硬盘进行逐扇区的读取,将硬盘数据完整地克隆出来;第二步是就是对保护和提取的数据进行分析,它的范围包括现存的正常文件、已经删除但没有被新文件覆盖的文件、隐藏文件、受到密码保护的文件及加密文件等等。

分析数据常用的手段有:1.用搜索工具搜索所有的逻辑文件Slack磁盘空间、自由空间、未分配的空间中所有特定的数据。

打个比方说:在上午10点的时候发生了入侵事件,那么在使用搜索工具时肯定是首先搜索记录时间为10点左右的文件2.由于黑客在入侵时会删除数据,所以我们还要用数据恢复工具对没有覆盖的文件进行恢复3.对系统中所有加密的文件进行解密4.用MD5对原始证据上的数据进行摘要,然后把原始证据和摘要信息保存。

上面的就是网警在取证时所要进行技术处理的地方,然后根据分析的结果(如IP地址等等)来抓人。

下面介绍一些网警在取证时常用到的专业软件,对此方向感兴趣的朋友可以到网上去下载。

文件浏览器:专门用来查看数据文件的阅读工具,只可以查看但没有编辑和恢复功能,可以防止数据的破坏,Quick View Plus是其中的代表。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

将数据从目标主机上移走, 到确认没被污染的机器上进 行分析。鉴定目标系统上命 令的正确性 将数据从目标主机上移走, 到确认没被污染的机器上进 行分析。鉴定目标系统上命 令的正确性

公用密钥体制
公用密钥需要两个相关的密码,一个密码作为公钥,一个密码作 为私钥,在公用密钥体制中,信息接收者可以把他的公用密钥放 到Internet的任意地方,或者用非加密的邮件发给信息的发送者, 信息的发送者用他的公钥加密信息然后发给信息接收者,信息接 收者则用他自己的私钥解密信息。 代表算法:RSA
• 就体制而言,目前的加密体制可分为:
单密钥加密体制
在加密和解密过程中都必须用到同一个密钥的加密体制,此加密 体制的局限性在于,在发送和接收方传输数据时必须先通过安全 渠道交流密钥,保证在他们发送或接收加密信息之前有可供使用 的密钥。 代表算法:DES、TripleDES(3DES)、RC5或Blowfish
猜测或者找到编码的破译密 钥 先定位,然后破解
在文件系统中进行关键字搜 索
反取证技术
种类
隐藏数据 实际上存 在的数据 被隐藏为 不可见
隐藏技术
假造名字 将文件伪装成其他类型的文件,或 者它们的后缀名是不正确的。 这种方法在UNIX系统中不适用
调查方法
在文件系统中进行关键字搜 索。寻找异常的地方。使用除是最有效的反取证方法。它是指 清除所有可能的证据(索引节点目录文件和数 据块中的原始数据)。 原始数据不存在了,取证自然无法进行。 当在存储器中的数据不能被删除时,专业 的数据擦除软件能习惯于用固定数据模式写在 整个磁盘区域,因此能有效地擦除在磁盘上的 数据。
反取证技术
隐藏文件 手工将文件隐藏到经验不足的管理 员不会查看的地方
没有名字 零链接文件(在UNIX中),它们 与任何目录都没有联系
在文件系 统中,但 不在数据 文件中 在闲散空间、交换空间和自由空间中。 (交换空间在WINDOWS中是以文件 的形式存在的,在UNIX中可能是一个 文件,也可能是一个分区)
在文件系统中进行关键字搜 索,寻找异常的地方
必须在关机之前定位到这种 文件,否则就会丢失 在整个驱动器上进行搜索。 使用恢复软件
反取证技术
种类
隐藏数据 实际上存 在的数据 被隐藏为 不可见 在计算机 之外
隐藏技术
数据被存储在可移动媒体之中,或 是局域网、互联网中的一个系统之 中
调查方法
发现并检查所有媒体。寻找 远程连接的证据
欺骗调查人员 修改系统命令 数据没有被修改,但 系统命令或整个系统 被嫌疑人进行了修改, 使调查人员无法看到 修改操作系统 这些数据
反取证技术
数据加密的三种基本组合的原理:
“置换表”算法 • 每一个数据段(总是一个字节)对应着“置换表”中的一 个偏移量,偏移量所对应的值就输出成为加密后的文件 变换数据位置 • 从输入中读入明文放到一个buffer中,再在buffer中对他 们重排序,然后按这个顺序再输出。解密程序按相反的顺 序还原数据。 循环移位和异或(XOR)操作 • 这是一种更好的加密算法,只有计算机可以做,就是字/ 字节循环移位和xor操作
数据加密 数据隐藏 数据擦除
这些技术结合起来使用,让取证工作的效果大打折扣。
反取证技术
数据加密: 数据加密的基本过程就是对原来为明文
的文件或数据按某种算法进行处理,使其成 为不可读的一段代码,通常称为“密文”。 数据加密是应用信息安全的核心技术――密
码技术,将资料加密。
反取证技术
放在不显 眼的地方 在文件系 统中的一 个文件里
隐藏技术
加密 压缩 关键字搜索对其无效,并且可以使 数据的体积减少(被认为是一种弱 加密方法) 编码 看上去正常的数据实际上含有其他 的含义 隐写术 数据被隐藏在某个看似正常的文件 中 隐藏名字 文件的名字在标准的操作系统工具 中无法看到
调查方法
必须先定位,然后进行破解 必须先定位,然后使用正确 的算法进行解压缩
数据隐藏 在计算机取证过程中遇到的最具挑战性 的问题之一就是数据被嫌疑人有意地隐藏起 来了。 总是假设你检查的系统里可能含有隐藏 的数据。即使不是故意为躲避调查而隐藏数 据,在所有的系统中也都由操作系统隐藏了 一些数据。
反取证技术
种类
模糊数据 任何人都可以看到该 数据,但却不能理解 其中的内容 隐藏数据 实际上存 在的数据 被隐藏为 不可见
反取证技术
反取证技术
从当前软件的实际情况来看,所谓的“取证分析”软件还仅仅可 以恢复使用rm或strip命令删除的文件,由于当前的计算机取证技术 还存在很大的局限性,这让一些计算机犯罪者有机可乘。 所以在计算机取证技术蓬勃发展的同时,反取证技术悄悄出现了, 反取证就是删除或者隐藏证据使取证调查无效。目前,反取证技术分 为三类: