Você está na página 1de 14

Definição

Anti-forensics tem sido reconhecido somente recentemente como um campo legitimate do estudo.
Dentro deste campo do estudo, as definições numerosas do anti-forensics abound. Uma das
definições mais extensamente sabidas e aceitadas vem do Dr. Marc Rogers da universidade de
Purdue. Dr. Rogers usa de “uma aproximação mais tradicional da cena crime” ao definir o anti-
forensics. “Tentativas de afetar negativamente a existência, a quantidade e/ou a qualidade da
evidência de uma cena de crime, ou de fazer a análise e a examinação da evidência difíceis ou
impossíveis de conduzir” [1]
Uma definição mais abreviada é dada por Scott Berinato em seu artigo intitulado, a ascensão de
Anti-Forensics. “Anti-forensics é mais do que a tecnologia. É uma aproximação a cortar criminal
que pode ser resumido como este: Faça duro para que encontrem-no e impossível para que provem
encontraram-no.” [2] Interessante, nenhum autor faz exame no cliente do usuário que usa métodos do
anti-forensics assegurar dados pessoais é mantido confidencial.

Sub-categories de Anti-forensics

Os métodos de Anti-forensics são quebrados frequentemente para baixo em diversos sub-categories


para fazer a classificação das várias ferramentas e técnicas mais simples. Uma das avarias mais
extensamente aceitadas do subcategory foi desenvolvido pelo Dr. Marcus Rogers. Propôs os
seguintes sub-categories, esconder de dados, artifact que limpa, obfuscation da fuga e os ataques de
encontro aos CF (forensics do computador) processam/ferramentas. [1]

A finalidade e os objetivos de Anti-forensics

Dentro do campo do forensics digital há muito debate sobre a finalidade e os objetivos de métodos
anti-forensic. O conception comum é que as ferramentas anti-forensic são puramente maliciosas na
intenção e no projeto. Outros acreditam que estas ferramentas devem ser usadas ilustrar deficiências
em procedimentos forensic digitais, em ferramentas forensic digitais, e na instrução forensic do
examinador. Este sentiment foi ecoado na conferência 2005 de Blackhat por autores anti-forensic,
por James Foster e por Vinnie Liu da ferramenta. Indicaram que expondo estas edições, os
investigators forensic terão que trabalhar mais duramente para provar que a evidência coletada é
exata e segura. Acreditam que este resultará em ferramentas melhores e em instrução para o
examinador forensic. [3]
Esconder de dados
Esconder de dados é o processo de fazer dados difíceis de encontrar ao também mantê-lo acessível
para o uso futuro. O “Obfuscation e o encryption dos dados dão a um adversário a abilidade de
limitar a identificação e a coleção da evidência por investigators ao permitir o acesso e o uso a
se.” [4] Alguns dos formulários mais comuns de esconder de dados incluem o encryption, o
steganography, e outros vários formulários da ferragem/do concealment baseado software dos dados.
Cada um dos métodos diferentes esconder de dados faz examinações forensic digitais difíceis.
Quando os métodos diferentes esconder de dados são combinados, podem fazer uma investigação
forensic bem sucedida quase impossível.

Encryption

Uma das técnicas mais geralmente usadas para derrotar o forensics do computador é encryption de
dados. Em uma apresentação deu no encryption e as metodologias anti-forensic o vice-presidente de
computar seguro, Henry de Paul, consultaram a encryptioncomo o nightmare “de uma análise
forensic”. .[5]
A maioria de programas publicamente disponíveis do encryption permite que o usuário críe os discos
cifrados virtuais que podem somente ser abertos com uma chave designada. Com o uso de
algoritmos modernos do encryption e de várias técnicas do encryption estes programas fazem os
dados virtualmente impossíveis ler sem a chave designada.
O encryption nivelado da lima cifra somente os índices da lima. Isto deixa a informação importante
tal como a lima - nome, tamanho e timestamps unencrypted. As partes do índice da lima podem
reconstructed de outras posições, tais como limas provisórias, lima da troca e cópias suprimidas,
unencrypted.
A maioria de programas do encryption têm a abilidade de executar um número de funções adicionais
que fazem esforços forensic digitais cada vez mais difíceis. Algumas destas funções incluem o uso
de a keyfile, encryption do cheio-volume, e deniability plausible. A disponibilidade difundida do
software que contem estas funções pôs o campo do forensics digital em uma desvantagem grande.

Steganography

Steganography é uma técnica onde a informação ou as limas sejam escondidas dentro de uma outra
lima em uma tentativa de esconder dados deixando a na vista lisa. “Steganography produz os dados
escuros que são enterrados tipicamente dentro dos dados claros (por exemplo, um watermark digital
non-perceptível enterrado dentro de uma fotografia digital).” [6] Alguns peritos discutiram que o uso
de técnicas do steganography não é muito difundido e não deve conseqüentemente ser dado muitos
do pensamento. A maioria de peritos concordarão que o steganography tem a potencialidade de
disrupting o processo forensic quando usado corretamente. [2]
De acordo com Jeffrey Carr, uma edição 2007 de Mujahid técnico (uma publicação bi-monthly do
terrorista) esboçou a importância de usar um programa do steganography chamado Segredo do
Mujahedeen. De acordo com Carr, o programa touted como dar ao usuário a potencialidade para
evitar a deteção pela corrente steganalysis programas. Fêz este com o uso do steganography
conjuntamente com a compressão da lima. [7]

Outros formulários de esconder de dados

Outros formulários de esconder de dados envolvem o uso das ferramentas e das técnicas esconder
dados durante todo várias posições diferentes em um sistema computatorizado. Alguns destes
lugares podem incluir a “memória, espaço frouxo, diretórios escondidos, blocos maus, córregos de
dados alternos, divisórias escondidas.” [1] Um do melhor - as ferramentas sabidas que é usado
frequentemente para esconder de dados são chamadas Frouxo (parte do Metasploit estrutura). Mais
frouxo quebra acima uma lima e coloca cada parte dessa lima no espaço frouxo de outras limas,
desse modo escondendo o do software forensic da examinação. [6] Uma outra técnica esconder de
dados envolve o uso de setores maus. Para executar esta técnica, as mudanças do usuário um setor
particular do bom ao bad e dados são colocadas então nesse conjunto particular. A opinião é que as
ferramentas forensic da examinação verão estes conjuntos como o bad e continuarão sobre sem
nenhuma examinação de seus índices. [6]
Limpar do Artifact
Os métodos usados em limpar do artifact são tasked com permanentemente eliminar limas
particulares ou sistemas de lima inteiros. Isto pode ser realizado com o uso de uma variedade dos
métodos que incluem utilidades da limpeza do disco, lima que limpa utilidades e degaussing do
disco/técnicas da destruição. [1]

Utilidades da limpeza do disco

As utilidades da limpeza do disco usam uma variedade dos métodos overwrite os dados existentes
em discos (veja remanence dos dados). A eficácia de utilidades da limpeza do disco como
ferramentas anti-forensic é desafiada frequentemente enquanto algumas acreditam que não são
completamente eficazes. Peritos que não acreditam que as utilidades da limpeza do disco são
aceitáveis para o disco sanitization baseie suas opiniões fora da política atual de DOD, que indica
que o único formulário aceitável do sanitization degaussing. (Veja Programa nacional da segurança
industrial) As utilidades da limpeza do disco são criticadas também porque deixam assinaturas que o
sistema de lima estêve limpado, que em alguns casos é inaceitável. Algumas das utilidades
extensamente usadas da limpeza do disco incluem DBAN, SRM, KillDisk, de Inspector do PC
cyberCide e de CyberScrubs.

Lima que limpa utilidades

A lima que limpa utilidades é usada suprimir limas individuais de um sistema operando-se. A
vantagem da lima que limpa utilidades é que podem realizar sua tarefa em uma quantidade de tempo
relativamente curta ao contrário das utilidades da limpeza do disco que fazem exame muito mais por
muito tempo. Uma outra vantagem da lima que limpa utilidades é que deixam geralmente uma
assinatura muito menor do que utilidades da limpeza do disco. Há duas desvantagens preliminares da
lima que limpam utilidades, primeiramente requerem a participação do usuário no processo e em
segundo alguns peritos acreditam que a lima que limpa programas não sempre corretamente e
completamente informação da lima do wipe. [1] Alguma da lima extensamente usada que limpa
utilidades inclui R-Limpa & limpa, eliminador, Wipe de Aevita & supressão e CyberScrubs
PrivacySuite.

Degaussing do disco/técnicas da destruição

Disco que degaussing (veja degauss) é um processo por que um campo magnético invertido é
aplicado a um dispositivo digital dos meios. O resultado é um dispositivo que esteja inteiramente
limpo de todos os dados previamente armazenados. Degaussing é usado raramente como um método
anti-forensic apesar do fato que é a maneira a mais de confiança assegurar dados estêve limpado. Isto
é atribuído ao custo elevado de degaussing as máquinas, que são difíceis para que o consumidor
médio tenha recursos para. Uma técnica mais geralmente usada para assegurar limpar dos dados é a
destruição física do dispositivo. NISTrecomenda que “a destruição física pode ser realizada usando
uma variedade dos métodos, including o disintegration, o incineration, pulverizing, shredding e
derreter” [8]
Obfuscation da fuga
A finalidade do obfuscation da fuga é confundir, disorientate e desviar o processo forensic da
examinação. O obfuscation da fuga cobre uma variedade das técnicas e as ferramentas que incluem
do “líquidos de limpeza registro, spoofing, misinformation, espinha dorsal que espera, zombied
clientes, comando de Trojan”. [1] Uma das ferramentas mais extensamente sabidas do obfuscation da
fuga é Timestop (parte da estrutura de Metasploit). Timestop dá ao usuário a abilidade de modificar
os metadata da lima que pertencem aos tempos do acesso, da criação e da
modificação/datas. [2] Usando programas tais como Timestop, um usuário pode render todo o número
das limas inútil em um ajuste legal diretamente chamando dentro para questionar o credibility das
limas.
Outros bons - o programa sabido do obfuscation da fuga é Transmogrify (parte também da estrutura
de Metasploit). Em a maioria de tipos da lima o encabeçamento da lima contem identificar a
informação. A (.jpg) teria a informação de encabeçamento que o identifica como a (.jpg), a (.doc)
teria a informação que o identifica como (.doc) e assim por diante. Transmogrify permite que o
usuário mude a informação de encabeçamento de uma lima, assim que o encabeçamento de a (.jpg)
poderia ser mudado ao encabeçamento de a (.doc). Se um programa forensic da examinação
ou sistema operando-se era conduzir uma busca para imagens em uma máquina, veria simplesmente
a lima de a (.doc) e saltaria sobre ele. [2]
Ataques de encontro ao forensics do computador
Nas ferramentas anti-forensic passadas focalizaram em atacar o processo forensic dados destruindo,
dados escondendo, ou alterar a informação do uso dos dados. Anti-forensics tem-se movido
recentemente em um reino novo onde as ferramentas e as técnicas fossem focalizadas em atacar as
ferramentas forensic que executam as examinações. Estes métodos anti-forensic novos beneficiaram-
se de um número de fatores para incluir procedimentos forensic bem documentados da examinação,
vulnerabilities forensic extensamente sabidos da ferramenta e o reliance pesado dos examinadores
forensic digitais em suas ferramentas. [1]
Durante uma examinação forensic típica, o examinador criaria uma imagem dos discos dos
computadores. Isto mantem o computador original (evidência) de tainted por ferramentas forensic.
Hashes (veja função cryptographic da mistura) são criados pelo software forensic da examinação
para verificar a integridade da imagem. Uma das técnicas recentes da anti-ferramenta alveja a
integridade da mistura que é criada para verificar a imagem. Afetando a integridade da mistura, toda
a evidência que for coletada durante a investigação subseqüente pode ser desafiada.

Degaussing
“Degausser” dirige de novo aqui. Para a canção perto Brandnew, veja Degausser (canção).

Degaussing é o processo de diminuir ou de eliminar um não desejado campo magnético. É nomeado


em seguida Gauss de Carl Friedrich, um investigador adiantado no campo de magnetismo. Devido
a histerese magnética não é geralmente possível reduzir completamente um campo magnético a zero,
assim que degaussing tipicamente induz um campo “sabido” muito pequeno consultado a
como polarização.

Hulls do navio de Degaussing


O termo foi usado primeiramente (então) pelo comandante. Charles F. Goodeve, RCNVR,
durante Segunda guerra mundial ao tentar opôr o alemão minas magnéticas isso jogava o havoc com
a frota britânica. As minas detectaram o aumento no campo magnético quando o aço em um navio
concentrou o campo magnético da terra sobre ele. Goodeve desenvolveu um número de sistemas
para induzir acima do “um campo pequeno N-pólo” no navio para deslocar este efeito, significando
que o campo líquido era o mesmo que o fundo. Desde que os alemães usaram gauss como a unidade
da força do campo magnético em disparadores das suas minas (esta não era ainda uma medida
padrão), Goodeve consultou aos vários processos para opôr as minas como degaussing. O termo
transformou-se uma palavra comum.
O método original de degaussing era instalar bobinas eletromagnéticas nos navios, sabidos
simplesmente como bobinar. Além a poder inclinar continuamente o navio, bobinando também
permitiu que o campo diagonal fosse invertido no hemisfério do sul, onde as minas foram ajustadas
para detectar para baixo do “campos S-pólo”. Navios britânicos,
notàvelmente cruzadores e cruzadores de batalha, foram protegidos bem perto
aproximadamente 1943.
Instalar tal equipamento especial era, entretanto, distante demasiado caro e difícil prestar serviços de
manutenção a todos os navios que o necessitariam, assim que à marinha desenvolveu uma alternativa
chamada limpar (planejado por Goodeve), que arrastou simplesmente um cabo elétrico grande ao
longo do lado do navio com os aproximadamente 2000 ampères que correm através d. Isto induz o
campo apropriado no navio no formulário de uma polarização ligeira. Pensou-se originalmente que o
pounding do mar e os motores do navio randomize lentamente este campo, mas em testar este foi
encontrado para não ser um problema real. Um problema mais sério foi realizado mais tarde: porque
um navio viaja através do campo que magnético da terra escolha lentamente acima esse campo,
neutralizando os efeitos do degaussing. Dos capitães foram instruídos então sobre para mudar tão
frequentemente o sentido como possível evitar este problema. Não obstante a polarização desgastou
fora eventualmente, e envía teve que ser degaussed em uma programação. Os navios menores
continuaram a usar limpar com a guerra.
Depois que a guerra as potencialidades dos fusíveis magnéticos foi melhorada extremamente,
detectando não o campo próprio, mas mudanças nele. Isto significou que a degaussed o navio com
“um ponto quente magnético” imóvel se ajustaria fora da mina. Adicionalmente, a orientação precisa
do campo foi medida também, algo que um campo diagonal simples não poderia remover, pelo
menos para todos os pontos no navio. Uma série de bobinas ever-increasingly complexas foi
introduzida para deslocar estes efeitos, com sistemas modernos including não menos de três jogos
separados das bobinas para reduzir o campo em todos os machados.
Monitores de Degaussing
Hoje o uso o mais comum de degaussing está dentro CRT- jogos de tevê baseados e monitores do
computador. Por exemplo, muitos monitores usam uma placa do metal perto da parte dianteira do
tubo focalizar os feixes de elétron da parte traseira. Esta placa, máscara da sombra, pode escolher
acima campos externos fortes e dessa descoloração do produto do ponto na exposição.
Para minimizar esta, os CRT têm uma bobina de cobre envolvida em torno da parte dianteira da
exposição, sabida como bobina degaussing. Os tubos sem uma bobina interna podem ser degaussed
usando uma mão externa - versão prendida. As bobinas degaussing internas nos CRT são geralmente
muito mais fracas do que bobinas degaussing externas, desde que uma bobina degaussing melhor faz
exame acima de mais espaço. Os degauss causam a campo magnético dentro do tubo
a oscile ràpidamente, com diminuir amplitude. Isto sae máscara da sombra com um campo pequeno
e um tanto randomized, removendo a descoloração.
Muitos degauss das televisões e dos monitores automaticamente seu tubo do retrato quando ligado,
antes que uma imagem estiver indicada. O surge atual elevado que ocorre durante o este degauss
automáticos é a causa de um “thunk audível” ou do hum alto que possam ser ouvidos (e sentido)
quando as televisões e do computador do CRT monitores são ligados. Visualmente, isto faz com que
a imagem agite dramàtica por um período de tempo curto. Uma opção dos degauss está também
geralmente disponível para a seleção manual no menu das operações em tais dispositivos.
Em a maioria de equipamento comercial o surge atual à bobina dos degauss é regulado por um
simples PTC termistor o dispositivo que tem inicialmente uma resistência baixa mas muda
rapidamente a uma resistência elevada devido ao efeito de heating do fluxo atual. Tais dispositivos
são projetados para uma transição one-off de frio a quente no poder acima, assim que
“experimentando” com o efeito dos degauss repetidamente ligando o dispositivo e não são
recomendados fora enquanto pode fazer com que este componente falhe. O efeito será também mais
fraco, desde que o PTC não terá tido o tempo para refrigerar fora.
Meios de armazenamento de dados magnéticos de Degaussing
Os dados são armazenados em meios magnéticos, como movimentações duras, discos flexíveis e fita
adesiva magnética, fazendo as áreas muito pequenas chamadas domínios magnéticos mude seu
alinhamento magnético para estar no sentido de um campo magnético aplicado. Este fenômeno
ocorre no muito a mesma maneira que uma agulha do compasso aponta no sentido do campo
magnético da terra. Degaussing, chamado geralmente erasure, deixa os domínios em testes padrões
aleatórios com nenhuma preferência à orientação, rendendo desse modo dados precedentes
unrecoverable. Há alguns domínios cujo o alinhamento magnético não randomized após degaussing.
A informação que estes domínios representam é chamada geralmente magnéticaremanence desde
que é devido a magnetização remanent. Degaussing apropriado assegurar-se-á lá é remanence
magnético insuficiente para reconstruct os dados.[1]
Erasure através de degaussing pode ser realizado em duas maneiras: em C.A. o erasure, os meios é
degaussed aplicando um campo alterno que seja reduzido na amplitude sobre o tempo de um valor
elevado inicial (isto é., C.A. powered); em C.C. o erasure, os meios saturated aplicando um campo
unidirectional (isto é., C.C. powered ou empregando a ímã permanente). Adegausser é um
dispositivo que possa gerar um campo magnético para degaussing meios de armazenamento
magnéticos.[2]
Métodos alternativos
Os monitores sem degauss que a função pode ser degaussed colocando um monitor degauss-
permitido face-to-face com o monitor do alvo. Ativando os degauss funcione no monitor que
permitido a lata ajuda a degauss os outros.[a citação necessitou]
Degaussing pode também ajudar reduzir especialmente a distorção devido à eletricidade estática que
resulta frequentemente do uso a longo prazo do monitor, em uns monitores mais velhos.

Remanence dos dados


Remanence dos dados é a respresentação residual de dados isso estêve em alguma maneira nominal
apagada ou removida. Este resíduo pode ser devido aos dados que estão sendo saidos intatos por um
substantivo supressão operação, ou através das propriedades físicas do meio de armazenamento. O
remanence dos dados pode fazer a divulgação inadvertida de informação sensível possível, se os
meios de armazenamento forem liberados em um ambiente descontrolado (por exemplo, jogado no
lixo, ou dado a um third-party).
Sobre o tempo, as várias técnicas foram desenvolvidas para opôr o remanence dos dados.
Dependendo da eficácia e da intenção, são classificados frequentemente como qualquer
um clearing ou remover/que sanitizing. Os métodos específicos
incluemoverwriting, degaussing, encryption, e destruição física.
Causas
Muitos sistemas operando-se, gerentes da lima, e o outro software fornece uma facilidade onde
a limanão é imediatamente suprimido quando os pedidos de usuário que ação. Instead, a lima é
movida para a prendendo a área, para permitir que o usuário revert fàcilmente um erro.
Mesmo quando uma facilidade suprimida explícita da retenção da lima não é fornecida ou quando o
usuário não o usa, a maioria de computadores não removem realmente os índices de uma lima
quando é suprimido. Instead, removem simplesmente a entrada da lima do sistema de lima diretório.
Os índices da lima -- os dados reais -- remanesça nomeio de armazenamento. Os dados
remanescerão lá até sistema operando-se reúso o espaço para dados novos. Em alguns sistemas,
bastante filesystemmetadata é saido também atrás para permitir fácilundeletion por geralmente
disponível software de serviço público. Mesmo quando undelete não é possível, até que os dados
reais overwritten, pode ser lido pelo software que lê setores do discodiretamente. Forensics do
computador emprega frequentemente tal software.
Do mesmo modo, reformatting, repartitioning ou reimaging um sistema não é garantido sempre para
escrever a cada área do disco, embora todos farão com que o disco pareça vazio a a maioria de
software.
Finalmente, nivele quando o meio de armazenamento overwritten, propriedades físicas do meio pode
fazê-lo possível recuperar os índices precedentes usando técnicas de laboratório.
Contramedidas

Clearing

Clearing é a remoção de dados sensíveis dos dispositivos de armazenamento de tal maneira que há
uma garantia, proporcional à sensibilidade dos dados, que os dados não podem reconstructed usando
funções normais do sistema. Os dados podem ainda ser recoverable, mas não sem esforço incomun.
O Clearing é considerado tipicamente uma proteção administrativa de encontro à divulgação
acidental dentro de uma organização. Por exemplo, antes de a disco flexível reúso dentro de uma
organização, seus índices pode ser cancelou para impedir sua divulgação acidental ao usuário
seguinte.

Remover

Remover ou sanitizing é a remoção de dados sensíveis de um dispositivo do sistema ou de


armazenamento com a intenção que os dados não podem reconstructed por nenhuma técnica sabida.
Remover é feito geralmente antes de liberar meios fora do controle, como antes de rejeitar meios
velhos, ou dos meios moventes a um computador com exigências diferentes da segurança.
Métodos específicos

Overwriting

Um método comum usado opôr o remanence dos dados é overwrite o meio de armazenamento com
dados novos. Isto é chamado frequentemente a limpar ou shredding uma lima ou um disco. Porque
tais métodos podem frequentemente ser executados dentro software sozinho, e pode alveja
seletivamente somente a parte de um meio, ele é uma opção popular, low-cost para algumas
aplicações.
O mais simples overwrite a técnica escrevem os mesmos dados em toda parte -- frequentemente
apenas um teste padrão de todos os zero. Em um mínimo, isto impedirá que os dados estejam
recuperados simplesmente lendo do meio outra vez, e é assim usado frequentemente para clearing.
Para opôr umas técnicas mais avançadas da recuperação dos dados, o específico overwrite testes
padrões é prescrito frequentemente. Estes podem ser testes padrões genéricos pretendidos eradicate
todas as assinaturas do traço. Por exemplo, os testes padrões repetidos, alternos da escrita de uns e os
zero podem ser mais eficazes do que zero sozinho. As combinações dos testes padrões são
especificadas freqüentemente.
Um desafio com um overwrite é que algumas áreas do disco podem ser inacessível, devido à
degradação dos meios ou aos outros erros. O software overwrite pode também ser problematic nos
ambientes da elevado-segurança que requerem uns controles mais fortes nos dados que commingling
do que pode ser fornecido pelo software no uso. O uso de tecnologias de armazenamento
avançadas pode também fazer lima-baseado para overwrite ineficaz.

Praticabilidade de recuperar dados overwritten


Peter Gutmann recuperação investigada dos dados dos meios nominal overwritten no mid-1990s.
Sugeriu microscopy magnético da força possa recuperam tais dados, e os testes padrões específicos
desenvolvidos, para tecnologias específicas da movimentação, projetados opôr tais. [1] Estes testes
padrões vieram ser sabidos como Método de Gutmann.
Daniel Feenberg, um economista no confidencial Departamento nacional da pesquisa econômica,
reivindica que as possibilidades dos dados overwritten que estão sendo recuperados de uma
quantidade moderna “urban legend” da movimentação dura.[2]
Até à data de novembro 2007, DoD considera overwriting aceitável para meios magnéticos do
clearing, mas não como um método do sanitization. Somente degaussing ou destruição física é
aceitável para o último.[3]
Na uma mão, de acordo com o 2006 NIST Publicação especial 800-88 (P. 7): Os “estudos mostraram
que a maioria de meios de hoje podem ser eficazmente cancelaram por um overwrite” e “para as
movimentações de disco de ATA manufaturadas após 2001 (sobre 15 GB) os termos que cancelam e
que removem convergiram.”[4]
Degaussing

Degaussing são a remoção ou a redução de um campo magnético. Aplicado a meios magnéticos,


degaussing pode remover um elemento inteiro dos meios rapidamente e eficazmente. Um
dispositivo, chamado um degausser, projetado para os meios que estão sendo apagados, é usado.
Degaussing rende frequentemente discos duros inoperable, como ele apaga de baixo
nível formato qual é feito somente na fábrica, durante a manufatura. Os discos flexíveis de
Degaussed podem geralmente reformatted e reúso.
Em ambientes da elevado-segurança, um pode ser requerido para usar um degausser que seja
aprovado para a tarefa. Por exemplo, dentro E.U. o governo e os jurisdições militares, um podem ser
requeridos para usar um degausser do NSA's “lista avaliada dos produtos” [5].

Encryption

Criptografia os dados antes que estejam armazenados no meio podem mitigate interesses sobre o
remanence dos dados. Se chave do decryption é forte e com cuidado controlado (isto é, não próprio
assunto ao remanence dos dados), pode eficazmente fazer todos os dados no meio unrecoverable.
Mesmo se a chave for armazenada no meio, pode provar mais fácil ou mais rápido aoverwrite apenas
a chave, contra o disco inteiro.
O Encryption pode ser feito em a lima-por-lima base, ou no disco inteiro.

Destruição física

A destruição física do meio de armazenamento de dados é considerada geralmente a maneira mais


determinada opôr o remanence dos dados, embora também no custo o mais elevado. É não somente
o processo geralmente time-consuming e incómodo, rende obviamente os meios unusable. Mais
mais, com as densidades de gravação elevadas de meios modernos, mesmo um fragmento pequeno
dos meios pode conter quantidades grandes de dados.
As técnicas específicas da destruição incluem:

 Fisicamente quebrando os meios distante, moer, shredding, etc.


 Incinerating
 Transição da fase (isto é, liquification ou vaporização de um disco contínuo)
 Aplicação de corrosivo produtos químicos, como ácidos, às superfícies de gravação
 Para meios magnéticos, levantando sua temperatura acima do Ponto do Curie

Complicações

Áreas inacessíveis dos meios

Os meios de armazenamento podem ter as áreas que se tornam inacessíveis por meios normais. Por
exemplo, a discos magnéticospode desenvolver “setores maus novos” depois que os dados foram
escritos, e as fitas adesivas requerem aberturas inter-record. Moderno discos duros caracterize
frequentemente remapping automático de setores ou das trilhas marginais, que Ósmio não pode
mesmo estar ciente de. Tentativas de opôr perto o remanence dos dados overwriting não pode ser
bem sucedido em tais situações, enquanto os restos dos dados podem persistir em tais áreas nominal
inacessíveis.

Sistemas avançados do armazenamento


Os sistemas do armazenamento de dados com características mais sofisticadas podem
fazer overwrite ineficaz, especialmente em uma base da por-lima.
Sistemas de lima Journaling aumente a integridade dos dados gravando escrevem operações em
posições múltiplas, e aplicar-setransação- como a semântica. Em tais sistemas, os restos dos dados
podem existir nas posições “parte externa” a posição nominal do armazenamento de lima.
Algum instrumento dos sistemas de lima cópia-em-escreva ou built-in controle da revisão, com a
intenção que escrevendo a uma lima nunca overwrites os dados in-place.
Tecnologias como INVASÃO e anti-fragmentação as técnicas podem resultar nos dados da lima que
estão sendo escritos às posições múltiplas, ou pelo projeto (para tolerância de falha), ou como restos
dos dados.

Meios óticos

Meios óticos não seja magnético e não são afetados perto degaussing. Write-once meios óticos (CD-
R, DVD-R, etc.) também não pode ser removido perto overwrite. Meios óticos de leitura/gravação,
como CD-RW e DVD-RW, pode ser receptivo a overwriting. Os métodos para com sucesso
sanitizing discos óticos incluem a delaminating-abrasão da camada de dados metálica, do shredding,
de formar arcos elétrico destrutivo (como pela exposição à energia da microonda), e do submersion
em um solvente do polycarbonate (por exemplo, acetona).

Dados na RAM

O remanence dos dados foi observado dentro RAM de estática, que é considerado tipicamente
temporário (isto é, os índices são apagados com perda do poder elétrico). No estudo, a retenção dos
dados foi observada às vezes mesmo na temperatura de quarto.[6]
Um outro remanence encontrado estudo dos dados dentro memória de acesso aleatório
dinâmica (DRAM), outra vez com retenção dos dados dos segundos aos minutos na temperatura de
quarto e nas horas muito mais longas em que as microplaquetas de memória foram refrigeradas à
temperatura baixa. Os autores do estudo podiam ao uso a ataque do carregador frio para recuperar
cryptographic chaves para diversos populares encryption cheio do disco sistemas. Apesar de alguma
degradação da memória, podiam fazer exame da vantagem da redundância na maneira que as chaves
são armazenadas depois que foram expandidas para o uso eficiente, tal como dentro programar
chave. Os autores recomendam que os computadores powered para baixo, melhor que sejam saidos
no “sono“estado, quando não no controle físico do proprietário, e em alguns casos como Bitlocker,
isso um carregador PINO seja configurado também. [7]

técnicas anti-forense
-Forense técnicas Anti tentar frustrar os investigadores forenses e suas técnicas .

Isso pode incluir recusando-se a executar quando a depuração modo é ativado, recusando-se a
execução quando rodando dentro de umamáquina virtual , ou deliberadamente dados
substituição. Embora algumas ferramentas anti-forense têm fins legítimos, como a substituição de
dados sensíveis que não devem cair em mãos erradas, como qualquer ferramenta que pode ser
abusado.

Tradicional anti-forense
Dados e Metadados Substituições
Secure exclusão de dados
Firmemente apagar dados, de modo que não possa ser recuperada com métodos forenses.

Substituições programas funcionam normalmente em um dos três modos:

1. O programa pode substituir a mídia inteira.


2. O programa pode tentar sobrescrever arquivos individuais. Esta tarefa é complicada por
sistemas de arquivos: o arquivo em si pode ser substituído, mas as parcelas podem ser
deixados no blog.
3. O programa pode tentar substituir os arquivos que estavam anteriormente "apagado", mas
deixou a unidade. Os programas geralmente faz isso criando um ou mais arquivos na mídia e
depois gravar esses arquivos até que não haja espaço livre permanece, tomar medidas
especiais para apagar arquivos pequenos - por exemplo, os arquivos que existem inteiramente
na Master File Table Windows de uma partição NTFS (Garfinkel e Malan, 2005).

Programas empregam uma variedade de técnicas para sobrescrever dados. Disk Utility da Apple,
permite que dados sejam substituídos por uma única passagem de bytes NULL, com 7 passes de
dados aleatórios, ou com 35 passagens de dados. cipher.exe Microsoft, escreve um passe de zeros,
um passe de FFs, e uma passagem de dados aleatórios, em conformidade com o padrão DoD
5220.22-M.(DoD EUA, 1995). Em 1996, Gutmann afirma que poderia ser possível recuperar os dados
sobrescritos e propôs uma abordagem de 35 passam para sanitização assegurada (Gutmann,
1996). No entanto, um passe único substituindo agora é vista como suficiente para adesinfecção de
dados a partir de drives ATA com capacidade de mais de 15 GB que foram fabricados depois de 2001
(NIST 2006).

Esteja ciente de que "destruidores de dados" do software pode não necessariamente fazer o que
afirmam no site burb. Em particular, um erro comum é a fiscalização de como o sistema de arquivos
subjacente realmente armazena arquivos, por exemplo, uma "limpeza unidade" aplicativo que irá
escrever uma série de valores aleatórios no espaço não alocado no disco rígido não pode levar em
conta o espaço de folga o fim dos blocos de dados alocados. Permitindo assim uma grande parcela de
dados antigos que ainda é recuperável.Isto é muito útil para analista forense, mas não tão útil para
gestores de TI.

Substituições Metadados
Se o examinador sabe quando um invasor teve acesso a um Windows, Mac ou Unix, é frequentemente
possível determinar quais arquivos o atacante acessado, através da análise do arquivo "acesso" vezes
para cada arquivo no sistema. Alguns CFTs pode preparar um "timeline" das ações do invasor,
classificando todos os timestamps do computador em ordem cronológica. Embora um invasor poderia
limpar o conteúdo da mídia, essa ação em si pode atrair a atenção. Em vez disso, o atacante pode
esconder suas pistas, substituindo-se os tempos de acesso de modo que o cronograma não pôde ser
construído de forma confiável.
Por exemplo, Timestomp substituirá NTFS "criar", "modificar", "acesso" e "mudança" timestamps
( Metasploit 2006). Defiler's Toolkit Apode substituir timestamps inode e entradas de diretório excluído
em sistemas Unix muitos, data e hora em arquivos atribuídos pode também ser modificada usando o
comando touch Unix ( A Grugq 2003).

Prevenção Criação de Dados


Impedir a criação de determinados dados, em primeiro lugar. Dados que nunca foi lá, obviamente não
pode ser restaurado com métodos forenses.

Por exemplo, uma partição pode ser montada como somente leitura ou acessado através do dispositivo
bruto para evitar que o tempo de acesso ao arquivo que está sendo atualizado. O registro do Windows
chave HKLM \ SYSTEM \ CurrentControlSet \ Control \ FileSystem \ NtfsDisableLastAccessUpdate
pode ser definido como "1" para desabilitar a atualização do timestamp último acesso, esta
configuração é padrão no Windows Vista (Microsoft, 2006).

Criptografia, esteganografia, e outros dados Escondendo Abordagens


Dados criptografados
sistemas de arquivos de criptografia transparente criptografar os dados quando é escrito para o disco e
decodificar os dados quando é lido de volta, tornando-o opaco dados para qualquer atacante (ou CFT),
que não tem a chave. Esses sistemas de arquivos agora estão facilmente disponíveis para Windows,
Mac OS e Linux. A chave pode ser protegido com uma senha ou armazenados em um dispositivo
auxiliar, como um token USB. Se não houver nenhuma cópia da chave, deliberadamente destruindo a
chave torna os dados armazenados na mídia inacessíveis (Boneh e Lipton, 1996). Mesmo que o
sistema de criptografia não tem um comando sanitização intencional ou "auto-destruição", a criptografia
pode ainda ser um entrave poderoso para a análise forense se a chave de criptografia é desconhecido
para o examinador.

A criptografia também pode ser usado no nível do aplicativo. Por exemplo, o Microsoft Word pode ser
configurado para criptografar o conteúdo de um documento, especificando que o documento tem uma
"senha para abrir." Embora as versões mais antigas do Microsoft Word documentos criptografados com
uma chave de 40 bits que pode ser quebrada com as ferramentas comerciais, versões modernas
podem opcionalmente usar uma criptografia de 128 bits que é indecifrável, se uma senha segura é
usado.

Criptografado protocolos de rede


O tráfego de rede pode também ser criptografadas, para proteger seu conteúdo da análise
forense. encapsulamento protocolos de criptografia como SSL e SSH somente para proteger o
conteúdo do tráfego. Protegendo-se contra a análise de tráfego exige a utilização de
intermediários. Onion Routing (Goldschlag, Reed e Syverson, 1999) combina as duas abordagens com
múltiplas camadas de criptografia, de modo que nenhum intermediário conhece ambos os lados da
comunicação e do conteúdo em texto puro.
Mais informações: Tor e VPN .

Programa Packers
Packers são comumente utilizados pelos atacantes, para que ferramentas de ataque não será sujeito a
engenharia reversa ou a detecção de varredura. Packers como PECompact (Bitsum 2006) e Burneye
(Vrba 2004) terá um segundo programa, comprimir e / ou criptografá-la e envolvê-la com um extrator
adequado. Packers também pode incorporar proteção ativa contra as técnicas de engenharia reversa
ou de depuração. Por exemplo, Shiva vai sair se o seu processo está sendo rastreada; se o processo
não está sendo seguido, ele irá criar um segundo processo, e os dois processos, então, trace o outro,
pois cada processo em um sistema Unix só podem ser rastreados por um outro processo. (Mehta e
Clowes, 2003)

Pacotes de programas que requerem uma senha para ser executado pode ser tão forte como sua
criptografia e senha. No entanto, os programas são mais vulneráveis durante a execução. Burndump é
um módulo de kernel carregável (LKM), que detecta automaticamente quando um arquivo Burneye
protegido é executado, espera que o programa a ser decifrado e, em seguida, escreve as matérias-
primas, desprotegido binário para outro local (ByteRage 2002). Pacotes de programas também são
vulneráveis a análise estática se nenhuma senha é necessária (Eagle 2003).

Esteganografia
Esteganografia pode ser usada para inserir dados criptografados em um texto de capa para evitar a
detecção. Steghide incorpora texto em formato JPEG, MBP, MP3, WAV e AU (Hetzl 2002). Hydan
explora a redundância do conjunto de instruções x86, que pode codificar cerca de 1 byte por 110 (El-
Khalil, 2004). Stegdetect (Provos 2004) pode detectar algumas formas de esteganografia.

esconde StegFS dados criptografados em blocos não utilizados de um sistema de arquivos Linux ext2,
tornando os dados "parecem uma partição em que os blocos não utilizados foram recentemente
substituídos com bytes aleatórios utilizando algumas ferramentas limpeza de disco" (McDonald e Kuhn,
2003).

FreeOTFE e TrueCrypt permite que um arquivo do sistema codificado segundo a ser escondido dentro
de outro sistema de arquivos criptografados. O objetivo deste sistema de arquivos dentro de um
sistema de arquivos é para permitir que os usuários tenham um sistema de arquivos "chamariz" com
dados que são interessantes, mas não exageradamente sensíveis. Uma pessoa que está preso ou
capturado com um laptop criptografado usando este software poderia, então, desistir de senha do
sistema de arquivo do primeiro, com a esperança de que o chamariz seria suficiente para satisfazer os
interrogadores da pessoa.

Dados Genéricos Escondendo


Os dados também podem estar escondidos em locais não afectados ou inacessível que são ignorados
pela atual geração de ferramentas forenses.
Slacker Metasploit vai esconder dados dentro do espaço de folga do sistema de arquivos FAT ou
NTFS. dados FragFS esconde dentro do NTFS Master File Table. RuneFS (Grugq 2003) armazena
dados em blocos defeituosos. (Thompson e Monroe, 2006). lojas Waffen FS dados no arquivo do jornal
ext3 (Eckstein e Jahnke 2005). KY lojas FS dados em diretórios (Grugq 2003). armazena dados Mule
FS dados no espaço reservado inode (Grugq 2003). Também é possível armazenar informações nas
páginas não alocado de arquivos do Microsoft Office.

Informações podem ser armazenados no Host Protected Area (HPA) eo Device Configuration
Overlay (DCO) áreas de ATA para discos rígidos modernos. Dados do HPA e DCO não é visível para o
BIOS do sistema ou a funcionar, embora possa ser extraídos com ferramentas especiais.

Detecção de Análise Forense

Existem vários métodos para detectar se um investigador tenta executar uma live) forense análise
(sobre o sistema. Um utilizador mal intencionado ou programa poderia reagir a isso a destruição de
provas, por exemplo.

Outros forense Anti


Segmentação pontos cegos ferramenta forense
Segmentação vulnerabilidades ferramenta forense
Casper

GRML montado sistema de arquivos raiz no disco rígido

Casper é um conjunto de scripts usados para habilitar baseado distribuições Linux para inicializar a
partir de mídia removível. Casper scripts irá procurar o sistema de arquivos raiz
(normalmenteSquashFS ) na mídia de armazenamento de dados local durante o boot, montar e
executar / sbin / initprograma na raiz montado. A maioria dos forenses distribuições Linux baseada
no Ubuntu e do Debian falta de verificação de integridade de SquashFS imagens selecionadas e vai
arrancar imagens especialmente criadas encontrados no disco rígido (não está no CD).

Segmentação ferramenta genérica / lib vulnerabilidades


Referências
Garfinkel, S., Anti-Forense: Técnicas de detecção e contramedidas, The International Conference on-
Warfare 2 i e da Segurança (ICIW), Naval Postgraduate School, Monterey, Califórnia, março 8-9,
2007. [1]

Henrique, Wendel G., Anti-Forensics: computação forense Fazendo duras, Código Breakers III, São
Paulo, Brasil, Setembro de 2006.