Обфускация следов - Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная

Лекция



Это окончание невероятной информации про судебная компьютерно-техническая экспертиза.

...

безопасности .) Утилиты очистки дисков также подвергаются критике за то, что они оставляют подписи о том, что файловая система была очищена, что в некоторых случаях недопустимо. Некоторые из широко используемых утилит для очистки дисков включают DBAN , srm ,BCWipe Total WipeOut , KillDisk, PC Inspector и CyberScrubs cyberCide. Другой вариант, одобренный NIST и NSA, - это CMRR Secure Erase, в котором используется команда Secure Erase, встроенная в спецификацию ATA .

Утилиты для очистки файлов

Утилиты очистки файлов используются для удаления отдельных файлов из операционной системы. Преимущество утилит очистки файлов заключается в том, что они могут выполнить свою задачу за относительно короткий промежуток времени, в отличие от утилит очистки диска, которые занимают гораздо больше времени. Еще одно преимущество утилит для очистки файлов заключается в том, что они обычно оставляют гораздо меньшую подпись, чем утилиты для очистки диска. У утилит для очистки файлов есть два основных недостатка: во-первых, они требуют участия пользователя в процессе, а во-вторых, некоторые эксперты считают, что программы для очистки файлов не всегда корректно и полностью стирают информацию о файлах. [11] [12] Некоторые из широко используемых утилит для очистки файлов включают BCWipe., R-Wipe & Clean, Eraser, Aevita Wipe & Delete и CyberScrubs PrivacySuite. В GNU / Linux такие инструменты, как shred и srm, также можно использовать для очистки отдельных файлов. [13] [14] . SSD по своей конструкции труднее стереть, поскольку микропрограммное обеспечение может записывать данные в другие ячейки, что позволяет восстанавливать данные. В этих случаях следует использовать ATA Secure Erase для всего диска с такими инструментами, как hdparm, которые его поддерживают. [15]

Методы размагничивания / разрушения диска

Размагничивание диска - это процесс, при котором магнитное поле применяется к цифровому мультимедийному устройству. В результате получается устройство, полностью очищенное от ранее сохраненных данных. Размагничивание редко используется в качестве метода противодействия судебной экспертизе, несмотря на то, что это эффективное средство обеспечения удаления данных. Это связано с высокой стоимостью устройств размагничивания, которые рядовому потребителю сложно себе позволить.

Более часто используемый метод удаления данных - это физическое разрушение устройства. NIST рекомендует «физическое разрушение может быть осуществлено с использованием различных методов, в том числе дезинтеграции, сжигание, измельчение, измельчение и плавления.» [16]

Обфускация следов

Цель запутывания следов - запутать, дезориентировать и отвлечь процесс судебно-медицинской экспертизы. Обфускация следа охватывает различные методы и инструменты, в том числе «очистители журналов, спуфинг , дезинформацию , межсетевое переключение, зомбированные учетные записи, троянские команды».

Одним из наиболее широко известных инструментов обфускации следов является Timestomp (часть Metasploit Framework ). [10] Timestomp дает пользователю возможность изменять метаданные файла, касающиеся времени / даты доступа, создания и изменения. Используя такие программы, как Timestomp, пользователь может сделать любое количество файлов бесполезным в юридических условиях, напрямую поставив под сомнение их достоверность.

Еще одна хорошо известная программа для обфускации следов - Transmogrify (также часть Metasploit Framework). [10] В большинстве типов файлов заголовок файла содержит идентифицирующую информацию. (.Jpg) будет иметь информацию заголовка, которая идентифицирует его как ( .jpg ), ( .doc ) будет содержать информацию, которая идентифицирует его как (.doc) и так далее. Transmogrify позволяет пользователю изменять информацию заголовка файла, поэтому заголовок (.jpg) может быть изменен на заголовок (.doc). Если бы программа судебно-медицинской экспертизы или операционная система проводила поиск изображений на машине, она просто увидела бы файл (.doc) и пропустила его.

Атаки на компьютерную криминалистику

В прошлом средства защиты от судебной экспертизы были сосредоточены на атаке на криминалистический процесс путем уничтожения данных, сокрытия данных или изменения информации об использовании данных. Анти-криминалистика недавно перешла в новую сферу, где инструменты и методы сосредоточены на атаках на судебно-медицинские инструменты, выполняющие экспертизу. Эти новые методы борьбы с судебной экспертизой извлекли выгоду из ряда факторов, включая хорошо задокументированные процедуры судебной экспертизы, широко известные уязвимости инструментов судебной экспертизы и сильную зависимость судебных экспертов от своих инструментов.

Во время типичной судебно-медицинской экспертизы эксперт создает образ дисков компьютера. Это предохраняет исходный компьютер (доказательства) от искажения средствами судебной экспертизы. Программа судебной экспертизы создает хэши для проверки целостности изображения. Один из последних методов борьбы с инструментами нацелен на целостность хэша, который создается для проверки образа. Нарушая целостность хэша, можно оспорить любые доказательства, собранные в ходе последующего расследования.

Физический

Чтобы предотвратить физический доступ к данным, когда компьютер включен (например, в случае кражи с захватом и изъятия со стороны правоохранительных органов), могут быть реализованы различные решения:

  • Программные среды, такие как USBGuard или USBKill, реализуют политики авторизации USB и политики методов использования. Если программное обеспечение запускается путем вставки или удаления USB-устройств, может быть выполнено определенное действие. [17] После ареста Шелкового пути администратора «s Ross Ульбрихт , ряд доказательств концепции анти-криминалистических средств были создан для обнаружения захвата компьютера от владельца , чтобы закрыть его, поэтому делает данные недоступными , если полный диск используется шифрование. [18] [19]
  • Слот Kensington Security присутствует на многих устройствах и с подходящим может предотвратить кражу из оппортунистических воров.
  • Использование функции обнаружения вторжения в корпус компьютера или датчика (например, фотодетектора ), оснащенного взрывчаткой для самоуничтожения . В некоторых юрисдикциях этот метод может быть незаконным, поскольку он может серьезно искалечить или убить неавторизованного пользователя и может заключаться в уничтожении улик .
  • Аккумулятор можно было снять с ноутбука, чтобы он работал, только когда он подключен к блоку питания. Если кабель отсоединен, компьютер немедленно выключится, что приведет к потере данных. Однако в случае скачка напряжения произойдет то же самое.

Некоторые из этих методов основаны на выключении компьютера, в то время как данные могут сохраняться в оперативной памяти от пары секунд до пары минут, что теоретически допускает атаку холодной загрузки . Криогенное замораживание ОЗУ может продлить это время еще больше, и были обнаружены некоторые атаки на дикую природу. ] Существуют методы противодействия этой атаке, которые могут перезаписывать память перед выключением. Некоторые анти-криминалистические инструменты даже определяют температуру ОЗУ, чтобы выполнить выключение, когда она ниже определенного порога

Были предприняты попытки создать устойчивый к взлому настольный компьютер (по состоянию на 2020 год модель ORWL является одним из лучших примеров). Однако безопасность этой конкретной модели обсуждается исследователем безопасности и основателем Qubes OS Джоанной Рутковской .

Эффективность анти-криминалистики

Методы противодействия судебной экспертизе основаны на нескольких недостатках судебно-экспертного процесса, включая человеческий фактор, зависимость от инструментов и физические / логические ограничения компьютеров. Уменьшая подверженность судебно-медицинской экспертизы этим недостаткам, эксперт может снизить вероятность успешного воздействия антисудебных методов на расследование Это может быть достигнуто путем повышения уровня подготовки следователей и подтверждения результатов с помощью различных инструментов.

Вау!! 😲 Ты еще не читал? Это зря!

  • Криптографическая хеш-функция
  • Остаточная информация
  • Degauss
  • Шифрование
  • Судебный контроллер диска
  • Конфиденциальность информации
  • Ключевой файл
  • Инструмент удаления метаданных
  • Правдоподобное отрицание
  • Сертифицированный компьютерный экзаменатор
  • Сертифицированный судебный компьютерный эксперт
  • Контр-криминалистика
  • Криптоанализ
  • Остаточная информация
  • Шифрование диска
  • Шифрование
  • Скрытый файл и скрытый каталог
  • Аудит информационных технологий
  • MAC раз
  • Стеганализ
  • Соединенные Штаты против Арнольда

В общем, мой друг ты одолел чтение этой статьи об судебная компьютерно-техническая экспертиза. Работы впереди у тебя будет много. Смело пиши комментарии, развивайся и счастье окажется в твоих руках. Надеюсь, что теперь ты понял что такое судебная компьютерно-техническая экспертиза, компьютерно-техническая экспертиза, компьютерная криминалистика, антикомпьютерная криминалистика и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы

Продолжение:


Часть 1 Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная криминалистика
Часть 2 Использоание прецендентов как доказательство - Особенности назначения судебной компьютерно-технической экспертизы
Часть 3 Обфускация следов - Особенности назначения судебной компьютерно-технической экспертизы и Компьютерная

создано: 2016-01-17
обновлено: 2026-03-08
669



Помог ли вам этот ответ?
Нажмите оценку и напишите коротко почему. Так мы сможем сделать следующие ответы точнее и полезнее.
Насколько вы довольны ответом?
Ваш отзыв напрямую влияет на качество следующих подсказок и ответов.


Поделиться:
Пожаловаться

Найди готовое или заработай

С нашими удобными сервисами без комиссии*

Как это работает? | Узнать цену?

Найти исполнителя
$0 / весь год.
  • У вас есть задание, но нет времени его делать
  • Вы хотите найти профессионала для выполнения задания
  • Возможно применение функции гаранта на сделку
  • Приоритетная поддержка
  • идеально подходит для студентов, у которых нет времени для решения заданий
Готовое решение
$0 / весь год.
  • Вы можете продать (как исполнитель) или купить (как заказчик) готовое решение
  • Вам предоставят готовое решение
  • Будет предоставлено в минимальные сроки т.к. задание уже готовое
  • Вы получите базовую гарантию 8 дней
  • Вы можете заработать на материалах
  • подходит как для студентов так и для преподавателей
Я исполнитель
$0 / весь год.
  • Вы профессионал своего дела
  • У вас есть опыт и желание зарабатывать
  • Вы хотите помочь в решении задач или написании работ
  • Возможно применение функции гаранта на сделку
  • подходит для опытных студентов так и для преподавателей

Комментарии

Оставить комментарий

Если у вас есть какое-либо предложение, идея, благодарность или комментарий, не стесняйтесь писать. Мы очень ценим отзывы и рады услышать ваше мнение.
To reply

Лекции и учебник по "Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы"

Термины: Высоконагруженные проекты.Паралельные вычисления. Суперкомпьютеры. Распределенные системы