计算机反取证

[原创]计算机反取证
文章标题:[原创]计算机反取证顶部 skyjay 发布于:2006-10-1218:30 [楼主][原创]计算机反取证
文章作者：skyjay
信息来源：邪恶八进制信息安全团队（）

要反取证就要知道怎么样取证，目前国内计算机取证技术大概有如下。

一数据恢复技术

二IP地址获取技术

三入侵检测技术“IDS”

四加密解密技术和口令获取

五反向工程技术

六信息搜索与过滤技术

等等技术，下面我对比较重要的简单介绍一下。
什么是“数据恢复技术”
通常磁盘被格式化不过是对用于访问文件系统的各种表进重新构造所以格式化之后数据仍然存放在磁盘上等待新的文件覆盖他，数据恢复技术就是用于在未被覆盖前恢复所删除文件目前国内可恢复1-2被覆盖删除的文件。

什么是“IP地址获取技术”
由于IP地址获取牵撤到很多网络技术所以我这里介绍下重要的一般ISP会通过RADIUS协议支持和路由器和中央用户目录之间验证请求，这一协议可以用于用户身份认证和记帐。RADIUS服务器通常是追踪罪犯的唯一设备，RADIUS服务器一般会对每一个注册请求的记录保存一年以上。

什么是“IDS入侵检测技术”
IDS一般有两种使用方式：基于网络和主机。基于网络的IDS一般安装在一个网段，检测网段内每台机器的流量和未授权活动记录所有Ri志，基于主机的一般在单各主机上执行检测记录特定事件或者模式边变化，等等。

下面说反取证技术

一般常见的技术有代理，跳板，数据抹擦等等。
当你进入跳板肉鸡操作就会有很多的记录比如说远行痕迹、网络浏览地址、缓存、历史记录和临时文件Ri志记录礡i庑┤绻阒煌ü胀ǖ腞i志清除工具都可以恢复，所以我向大家推荐几款工具Powerful.Cookies通过3次覆盖技术删除电脑上所以执行痕迹，不针对Ri志。
ultrashredder针对单一文件覆盖删除，拖拉要删除的文件比如Ri志选择覆盖次数即可。
SystemShield针对所有已经删除的文件在次清理。
经过本人测试通过软件恢复工具FinalData和EasyRecovery不可恢复。三款软件的绿色版我已经打包好上传给大家，2M不到很小方便携带。

对于跳板技术建议一般使用3层蟁i乙惶ü獾奶逶诮尤牍诘牡鹊取

有不对的请大家指教！
附件：x.zip(1171K)下载次数:438顶部 sunwear 发布于:2006-10-1308:42 [1楼]
如果工具是你写的我就加精了。
但仅仅是工具介绍，放在原创区已经很勉强了。
如果是介绍反计算机取证技术细节的document也可以。
本来打算放到工具版的，后来觉得还是勉强放这里吧。

建议楼主可以看看
/read-htm-tid-22265.html
这本03年出版的关于取证

技术的书
以及本论坛此版的帖子文档
/thread-htm-fid-35.html

争取早Ri自己写出有所成就的作品顶部 skyjay 发布于:2006-10-1316:34 [2楼]
实在感谢sun，我会努力的！~你介绍的我都看过，因为写大文章需要很多参考，我会加油，大家一起加油！顶部 skyjay 发布于:2006-10-1316:34 [3楼]
此3款工具，是我经过多次实践中挑选出来的，绝对的好用！顶部 saturnman 发布于:2006-10-1423:58 [4楼][TIPS]Re:[原创]计算机反取证
我看报纸上说重复覆盖7次都可以恢复啊!是美国军方用的什么紫外光谱,
看来要把数据消了就只有把硬盘毁了.顶部 sunwear 发布于:2006-10-1504:06 [5楼]Re:[TIPS]Re:[原创]计算机反取证

Quote:
这里是引用第[4楼]的saturnman于2006-10-1423:58发表的：[TIPS]Re:[原创]计算机反取证
我看报纸上说重复覆盖7次都可以恢复啊!是美国军方用的什么紫外光谱,
看来要把数据消了就只有把硬盘毁了.

还有比美国国防部用的更严格的，叫彼德加特曼法。顶部 chinalvker 发布于:2006-10-1512:22 [6楼]Re:Re:[TIPS]Re:[原创]计算机反取证

Quote:
这里是引用第[5楼]的sunwear于2006-10-1504:06发表的：Re:[TIPS]Re:[原创]计算机反取证


还有比美国国防部用的更严格的，叫彼德加特曼法。


彼德加特曼法不解?请sun说说或者提供一点相关质料顶部 sunwear 发布于:2006-10-1606:30 [7楼]Re:Re:Re:[TIPS]Re:[原创]计算机反取证

Quote:
这里是引用第[6楼]的chinalvker于2006-10-1512:22发表的：Re:Re:[TIPS]Re:[原创]计算机反取证



彼德加特曼法不解?请sun说说或者提供一点相关质料

覆盖35次.
美国国防部有3次覆盖和7次覆盖两种顶部 trying 发布于:2006-10-1612:38 [8楼]
标准是7次。
但LINUX里好象可以让你轻易覆盖35次的。
这方面的资料挺多的。
我列个目录吧

2006-09-1318:58 39,871与财务相关的计算机取证.txt
2006-09-1318:59 2,298,123网警剿黑客手册.pdf
2006-09-1318:59 2,111,027网警.pdf
2006-09-1318:59 90,112数字取证的分层抽象模型的研究.ppt
2006-09-1318:59 436,807手机取证概述.pdf
2006-09-1319:00 927,482实时取证网络数据分析Real-TimeandForensicNetworkDataAnalysis.pdf
2006-09-1319:01 4,789,401取证与蜜罐（计算机取证技术部分）.pdf
2006-09-1319:01 254,032浅析电子证据的法律定位.pdf
2006-09-1319:01 69,632论计算机取证工具及其检测.doc
2006-09-1319:01 1,173,920计算机取证与Ri志分析.pdf
2006-09-1319:01 22,717计算机取证与分析步骤（ComputerEvidenceProcessingSteps）.txt
2006-09-1319:01 170,440计算机取证技术综述.pdf
2006-09-1319:02 338,840计算机取证技术及其发展趋势.pdf
2006-09-1319:02 827,392计算机取证技术.ppt
2006-09-1319:02 540,808计算机取证的技术和方法.pdf
200

6-09-1319:02 167,750计算机反取证技术研究.pdf
2006-09-1319:02 971,531风险管理应急响应与取证-李德全-信息安全国家重点实验室.pdf
2006-09-1319:02 407,669反取证之避免敏感数据恢复(Anti-Forensics).pdf
2006-09-1319:02 18,770对物理内存的取证分析.txt
2006-09-1319:02 213,612电子证据取证技术的研究.pdf
2006-09-1319:02 4,162电子取证技术的三大方向.txt
2006-09-1319:03 1,109,281Seentech网络入侵取证系统技术白皮书.pdf
2006-09-1319:03 234,247E-Mail数字取证分析：可信的电子邮件协议DigitalForensicAnalysisofE-Mails：ATrustedE-MailProtocol.pdf
2006-10-0518:31 83,434IP反向追踪技术综述].pdf
2006-10-0518:31 240,363网络安全技术的探讨.pdf
2006-10-0518:32