证方法。它是指清除所有可能的证据索引节点、目录文件和数据块中的原始数据甚至是通过强力磁力来给硬盘消磁。原始数据不存在了取证自然就无法进行。现在已有反取证工具包TDTTheDefiler’sToolkit专门设计了两款用于数据擦除的工具软件Necrofile和Klismafile。Necrofile用于擦除文件的信息和数据它直接将TCT工具包中检查索引节点状态据为己用消除删除的文件索引信息它把所有TCT可以找到的索引节点的内容用特定的数据覆盖同时它还会用随机数重写其相应的数据区Klismafile用于擦除目录中的残存信息它从目录文件的入口开始寻找所有被删除的目录项然后用零覆盖满足特定条件的目录项内容。Klismafile不是一个完美的解决工具因为被它修改后的目录文件中会出现目录项大小不正常的情况当然现在还没有工具做这项检查。NEC推出过一个消磁机器在一个强磁场的作用下任何数据都会荡然无存。
为了逃避取证计算机犯罪者还会把暂时还不能被删除的文件伪装成其他类型例如库文件或者把它们隐藏在图形或音乐文件中也有人把数据文件藏在磁盘上的隐藏空间中比如反取证工具Ru
efs就利用TCT工具包不检查磁盘坏块的特点把存放敏感文件的数据块标记为坏块来逃避取证。这类技术统称为数据隐藏。
数据隐藏仅仅在取证者不知道到哪里寻找证据时才有效所以它仅适用于短期保存数据。一旦取证者发现了这条隐藏的通道数据将会直接暴露因此为了长期保存数据必须把数据隐藏和其他技术联合使用比如使用别人不知道的文件格式或加密包括对数据文件的加密和对可执行文件的加密。
加密数据文件的作用已经为我们所熟知了通过对原始文件进行数学变换来达到数据隐藏的目的。而对可执行文件加密是因为在被入侵的主机上执行的黑客程序无法被隐藏而黑客又不想让取证人员反向分析出这些程序的作用。尽管对可执行文件加密的具体方法随处理器的能力和操作系统的不同而发生变化但基本思想是相同的运行时先执行一个文本解密程序来解密被加密的代码而被解密的代码可能是黑客程序也可能是另一个解密程序。
使用水印技术保护和取证是反取证技术得一个克星。
f龙源期刊网httpwwwqika
comc
23取证的工具和过程标准化由于取证学上处于初级阶段所以对于取证的工具和过程标准化的工作才显得更加重要。取证工具和过程的标准化有利于减少取证过程中犯错的几率少走弯路提高取证的准确性和可靠性。但是取证需要组织和机构大量的投入包括工具的研究需要投入大量的金钱和人力物力标准的制定法r