Anti-Computer-Forensik

Anti-Computer-Forensik ist eine allgemeine Bezeichnung für eine Reihe von Techniken, wie Gegenmaßnahmen zur forensische Analyse verwendet.

Definition

Anti-Forensik hat erst vor kurzem als eine legitime Fachrichtung anerkannt. In diesem Bereich der Studie, zahlreiche Definitionen von Anti-Forensik gibt es zuhauf. Eine der bekanntesten und anerkannten Definitionen stammt von Dr. Marc Rogers von der Purdue University. Dr. Rogers verwendet eine traditionellere "Tatort" Ansatz bei der Definition von Anti-Forensik. "Versuche, die sich negativ auf das Vorliegen, die Höhe und / oder Qualität der Evidenz von einem Tatort, oder machen Sie die Analyse und Prüfung von Beweismitteln nicht oder nur schwer durchzuführen."

Eine gekürzte Definition wird durch Scott Berinato in seinem Artikel mit dem Titel, der Aufstieg der Anti-Forensics gegeben. "Anti-Forensik ist mehr als Technik. Es ist ein Ansatz, um kriminelle Hacker, die wie folgt zusammengefasst werden können: Machen Sie es schwer für sie zu Ihnen und unmöglich zu finden, damit sie beweisen, dass sie nicht das gefunden "Weder Autor berücksichtigt Verwendung von Anti-Forensik-Methoden, um die Privatsphäre der eigenen zu gewährleisten. Daten.

Unterkategorien

Anti-Forensik-Methoden werden oft in mehrere Unterkategorien gebrochen, um Klassifizierung der verschiedenen Tools und Techniken einfacher. Eine der weithin akzeptierten Subkategorie Pannen wurde von Dr. Marcus Rogers entwickelt. Daten Versteck, Artefakt Wisch, Trail Verschleierung und Angriffe auf die CF-Prozesse und Tools: Er hat folgende Untergruppen vorgeschlagen. Angriffe gegen Forensik-Tools direkt wurde auch Gegen Forensik bezeichnet.

Zweck und Ziele

Im Bereich der digitalen Forensik gibt es viele Diskussionen über den Zweck und die Ziele von anti-forensischen Methoden. Die gemeinsame Auffassung ist, dass anti-forensische Werkzeuge sind in der Absicht und Design rein bösartig. Andere glauben, dass diese Werkzeuge zu verwenden, um Mängel in der digitalen Forensik Verfahren, digitale forensische Tools, und forensische Prüfer Bildung veranschaulichen. Dieses Gefühl wurde bei der 2005 Blackhat-Konferenz durch Anti-Forensik-Tool Autoren, James Foster and Vinnie Liu hallte. Sie erklärten, dass, indem diese Fragen werden forensische Ermittler müssen härter arbeiten, um zu beweisen, dass Beweismaterial ist genau und zuverlässig. Sie glauben, dass dies zu einer besseren Werkzeugen und Bildung für die forensische Prüfer führen. Außerdem hat Gegen Forensik Bedeutung für die Verteidigung gegen Spionage, als Wiederherstellung von Informationen durch forensische Tools dient die Ziele der Spione gleichermaßen sowie Ermittler.

Daten Versteck

Daten Versteck ist der Prozess der Bereitstellung von Daten schwierig zu finden, aber auch zugänglich für die zukünftige Verwendung zu halten. "Verschleierung und Verschlüsselung von Daten geben ein Gegner die Möglichkeit, Identifikation und Sammlung von Beweismitteln durch Ermittler begrenzen dabei den Zugriff und nutzen, um sich."

Einige der häufigsten Formen der Daten Versteck gehören Verschlüsselung, Steganographie und anderen verschiedenen Formen von Hardware / Software-basierte Datenverschleierung. Jede der unterschiedlichen Daten Versteck Verfahren macht digitale forensischen Untersuchungen schwierig. Wenn die verschiedenen Daten Versteck Methoden kombiniert werden, können sie eine erfolgreiche forensische Untersuchung fast unmöglich.

Verschlüsselung

Eine der am häufigsten verwendeten Techniken, um Computer-Forensik zu besiegen ist die Datenverschlüsselung. In einer Präsentation gab er auf Verschlüsselung und anti-forensischen Methoden der Vizepräsident der Secure Computing, Paul Henry, bezogen auf die Verschlüsselung als "Alptraum forensische Analytiker".

Der Großteil der öffentlich verfügbaren Verschlüsselungsprogramme erlauben dem Benutzer, virtuelle verschlüsselte Laufwerke, die nur mit einem bestimmten Schlüssel geöffnet werden kann. Durch den Einsatz moderner Verschlüsselungsalgorithmen und verschiedene Verschlüsselungstechniken Diese Programme stellen die Daten praktisch unmöglich, ohne die festgelegte Taste zu lesen.

Datei-Level-Verschlüsselung verschlüsselt nur den Inhalt der Datei. Dies lässt wichtige Informationen wie Dateiname, Größe und Zeitstempel unverschlüsselt. Teile der Inhalt der Datei kann von anderen Standorten, wie beispielsweise temporäre Dateien, Auslagerungsdatei und gelöscht wird, unverschlüsselte Kopien rekonstruiert werden.

Die meisten Verschlüsselungsprogramme haben die Fähigkeit, eine Reihe von Zusatzfunktionen, die digitale Forensik Bemühungen immer schwieriger machen, durchzuführen. Einige dieser Funktionen sind die Verwendung einer Schlüsseldatei, Full-Volume-Verschlüsselung und alles leugnen. Die allgemeine Verfügbarkeit von Software, die diese Funktionen hat den Bereich der digitalen Forensik einen großen Nachteil setzen.

Steganographie

Steganographie ist eine Technik, wo Informationen oder Dateien innerhalb einer anderen Datei in einem Versuch, Daten, indem Sie es in plain sight verstecken versteckt. "Steganographie produziert dunklen Daten, die in der Regel innerhalb von Lichtdaten begraben ist." Einige Experten argumentieren, dass die Verwendung von Steganographie Techniken sind nicht sehr weit verbreitet und daher nicht viel Gedanken gegeben werden. Die meisten Experten einig, dass Steganografie hat die Fähigkeit, Störung der forensischen Prozess, wenn richtig eingesetzt.

Laut Jeffrey Carr, eine Ausgabe von Technical Mujahid 2007 skizzierte die Bedeutung der Verwendung eines Steganographie-Programm namens Geheimnisse der Mudschaheddin. Nach Carr, wurde das Programm gibt dem Anwender die Möglichkeit der Erfassung von aktuellen Steganalyse-Programmen zu vermeiden propagiert. Sie tat dies durch die Verwendung von Steganographie in Verbindung mit Datei-Komprimierung.

Andere Formen der Daten Versteck

Andere Formen von Datenkapselung beinhalten die Verwendung von Werkzeugen und Techniken, um Daten über verschiedene Standorte in einem Computersystem zu verbergen. Einige dieser Orte können, gehören "Speicher, Schlupfspeicher, verborgenen Ordnern, fehlerhafte Blöcke, alternative Datenströme, versteckten Partitionen."

Einer der bekannteren Tools, die häufig für die Daten Versteck dient heißt Slacker. Slacker bricht eine Datei und legt jedes Stück der Datei in den Schlupfspeicher von anderen Dateien, wodurch es von der gerichtsmedizinische Untersuchung Software versteckt. Eine weitere Daten Versteck Technik beinhaltet die Verwendung von fehlerhaften Sektoren. Um diese Technik durchführen, ändert der Benutzer einen bestimmten Sektor von gut bis schlecht und dann Daten auf diesem bestimmten Cluster platziert. Der Glaube ist, dass forensische Untersuchung Zeuge diese Cluster als schlecht zu sehen und weiter ohne Prüfung ihres Inhalts.

Artifact Wisch

Die in Artefakt Wisch verwendeten Methoden sind mit dauerhaft Beseitigung bestimmte Dateien oder ganze Dateisysteme beauftragt. Dies kann durch die Verwendung einer Vielzahl von Verfahren, die Reinigung der Festplatte Versorgungsunternehmen, Versorgungsunternehmen und Dateiwischplatte Entmagnetisierung / Zerstörung Techniken umfassen geführt werden.

Reinigung der Festplatte Dienstprogramme

Reinigung der Festplatte Dienstprogramme verwenden eine Vielzahl von Methoden, um die vorhandenen Daten auf Datenträger zu überschreiben. Die Wirksamkeit der Reinigung der Festplatte Versorgungsunternehmen als anti-forensische Tools wird oft in Frage gestellt, wie manche glauben, sie sind nicht vollständig wirksam. Experten, die nicht glauben, dass Reinigung der Festplatte Dienstprogramme sind für Platten sanitization verträgliche Basen ihre Meinungen über aktuelle DOD Politik, die besagt, dass die einzig akzeptable Form der Desinfektion ist Entmagnetisierung. Reinigung der Festplatte Dienstprogramme sind auch kritisiert, weil sie Signaturen, die das Dateisystem ausgelöscht wurde verlassen, die in einigen Fällen nicht akzeptabel ist. Einige der weit verbreiteten Plattenreinigungsdienstprogrammen gehören DBAN, SRM, BCWipe Total Wipeout, Killdisk, PC Inspector und CyberScrubs cyberCide. Eine weitere Option, die von der NIST und NSA genehmigt wird, ist CMRR Secure Erase, der den Secure Erase-Befehl in die ATA-Spezifikation gebaut verwendet.

Datei Abwischen Dienstprogramme

Datei Abwischen Versorgungsunternehmen verwendet werden, um einzelne Dateien von einem Betriebssystem zu löschen. Der Vorteil des Dateiwisch Dienstprogramme ist, dass sie ihre Aufgabe in einer relativ kurzen Zeitdauer im Gegensatz zu Plattenreinigungs Dienstprogramme, die viel länger erfüllen. Ein weiterer Vorteil der Datei Abwischen Versorgungsunternehmen ist, dass sie in der Regel lassen einen viel kleineren Signatur als Reinigung der Festplatte Versorgungsunternehmen. Es gibt zwei primäre Nachteile der Datei Abwischen Versorgungsunternehmen, zunächst sie erfordern die Einbeziehung der Nutzer in den Prozess und die zweite einige Experten glauben, dass die Datei Abwischen Programme nicht immer korrekt und vollständig wischen Dateiinformationen. Einige der weit verbreiteten Dateiwischdienstprogrammen gehören BCWipe, R-Wipe & amp; Sauber, Radiergummi, AEVITA Wipe & amp; Löschen und CyberScrubs PrivacySuite.

Platten Entmagnetisierung / Techniken zur Vernichtung

Platten Entmagnetisierung ist ein Prozess, bei dem ein Magnetfeld auf einen digitalen Medienvorrichtung aufgetragen. Das Ergebnis ist eine Vorrichtung, die völlig frei von irgendwelchen vorher gespeicherten Daten ist. Entmagnetisierung wird selten als trotz der Tatsache, daß es ein wirksames Mittel, um Daten zu gewährleisten wurde abgewischt eines Antiforensische Verfahren verwendet wird. Dies wird auf die hohen Kosten der Entmagnetisierung Maschinen, die schwierig für den Durchschnittsverbraucher zu leisten zurückzuführen.

Eine allgemein verwendete Technik zur Datenlöschung zu gewährleisten ist die physische Zerstörung des Gerätes. Das NIST empfiehlt, dass "physische Vernichtung kann unter Verwendung einer Vielzahl von Methoden, einschließlich Desintegration, Verbrennung, Pulverisieren, Schreddern und Schmelzen durchgeführt werden."

Trail Verschleierung

Der Zweck der Spur Verschleierung ist es, zu verwirren, zu desorientieren und lenken die forensische Untersuchung Prozess. Trail Verschleierung deckt eine Vielzahl von Techniken und Werkzeuge, die zählen "log Reiniger, Spoofing, Fehlinformationen, Backbone-Hopping, zombied Konten, Trojaner Befehle."

Einer der bekannteren trail Verbergungstools ist Timestomp. Timestomp gibt dem Benutzer die Möglichkeit, die Metadaten in Bezug auf Zugang, Erstellungs- und Änderungszeiten / Termine ändern. Durch die Verwendung von Programmen wie Timestomp kann ein Benutzer eine beliebige Anzahl von Dateien nutzlos in einem Rechtsrahmen zu machen, indem Sie direkt in Frage Glaubwürdigkeit der Dateien.

Ein weiteres bekanntes Trail-Verschleierung Programm ist Transmogrify. In den meisten Dateitypen der Header der Datei enthält Informationen zur Identifizierung. A würde Header Information, die es als eine identifiziert, eine Information, müsste es als usw. identifiziert. Transmogrify kann der Benutzer die Kopfinformation einer Datei zu ändern, so dass ein Kopf könnte zu einem Header geändert werden. Wenn eine forensische Untersuchung Programm oder Betriebssystem waren, um eine Suche nach Bildern auf einer Maschine durchzuführen, wäre es einfach sehen Sie eine Datei und überspringt sie.

Angriffe gegen Computer-Forensik

In den vergangenen anti-forensische Werkzeuge auf Angriff auf die forensischen Prozess, durch Daten zu zerstören, wodurch Daten, oder die Änderung Datenverwendungsinformationen konzentriert. Anti-Forensik hat vor kurzem in ein neues Reich, wo Werkzeuge und Techniken werden auf Angriff forensische Tools, die die Prüfungen durchführen konzentrierte sich bewegt. Diese neuen anti-forensischen Methoden wurden von einer Reihe von Faktoren profitiert, um gut dokumentiert forensischen Untersuchungsverfahren, die weithin bekannt Forensik-Tool Schwachstellen und digitale forensische Prüfer starke Abhängigkeit von den Tools gehören.

Während einer typischen forensische Untersuchung, würde der Prüfer ein Bild von Festplatten des Computers zu erstellen. Dies hält den ursprünglichen Computer aus durch forensische Tools behaftet. Hashes sind durch die forensische Untersuchung Software erstellt wurden, um die Integrität des Bildes zu überprüfen. Eines der letzten Anti-Werkzeugverfahren zielt auf die Integrität des Hash, die erstellt wird, um das Bild zu überprüfen. Durch die die Integrität der Hash kann jeder Beweis dafür, dass bei der anschließenden Untersuchung gesammelt, in Frage gestellt werden.

Physikalische

Verwendung von Gehäuseeinbruchserkennung in das Computergehäuse oder einen Sensor mit Sprengstoff für die Selbstzerstörung in Ordnung gebracht.

Wirksamkeit der Anti-Forensik

Anti-forensischen Methoden beruhen auf mehrere Schwachstellen in der forensischen Prozess, einschließlich: der Faktor Mensch, der Abhängigkeit von Werkzeugen und die physischen / logischen Grenzen von Computern. Durch die Reduzierung der forensischen Prozesses Anfälligkeit für diese Schwachstellen kann ein Prüfer die Wahrscheinlichkeit von anti-forensischen Methoden eine Untersuchung erfolgreich Auswirkungen zu reduzieren. Dies kann durch eine erhöhte Ausbildung für Forscher und übereinstimmende Ergebnisse mit Mehrfachwerkzeugen durchgeführt werden.

Anmerkungen und Hinweise

  • ^ Rogers, DM. Anti-Forensic Präsentation zu Lockheed Martin gegeben. San Diego.
  • ^ Berinato, S .. Der Aufstieg der Anti-Forensik. Abgerufen 19. April 2008, vom CSO Online: id = "cite_note-Hartley-3"> ^ Hartley, W. Matthew .. aktuelle und künftige Bedrohungen Digital Forensics. id = "cite_note-4"> ^ Foster, J. C., & amp; Liu, V .. Fang mich, wenn du kannst ... Las Vegas: Blackhhat Briefings.
  • . ^ Peron, CSJ Digital Anti-Forensik: Neue Trends in Datentransformationstechniken. von Seccuris: id = "cite_note-henry-6"> ^ Henry, PA Anti-Forensik:. eine Karriere in der Computer-Forensik? Sie Quit Your Day Job nicht ...: Secure Computing.
  • ^ Berghel, H .. Hiding Daten, Forensik und Anti-Forensik. Communications of the ACM, 15-20.
  • ^ Carr, J .. Anti-Forensic Methoden verwendet von Dschihad-Websites. Abgerufen 21. April 2008, von eSecurityPlanet: id = "cite_note-9"> ^ Kissel, R., Scholl, M., Skolochenko, S., & amp; Li, X .. Richtlinien für die Medien-Bereinigung. Gaithersburg: Computersicherheitsabteilung, National Institute of Standards and Technology.
  • ^ Harris, R .. Ankunft in einem Anti-Forensik-Konsens: Untersuchen, wie man de fi nieren und die Kontrolle der Anti-Forensik Problem. Abgerufen 9. Dezember 2010, ab: http://www.dfrws.org/2006/proceedings/6-Harris.pdf
  0   0
Vorherige Artikel Tell Abu Hureyra

In Verbindung Stehende Artikel

Kommentare - 0

Keine Kommentare

Fügen Sie einen Kommentar

smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile smile smile smile smile
smile smile smile smile
Zeichen übrig: 3000
captcha