随风而飞 2007-3-28 12:14
计算机反取证
要反取证就要知道怎么样取证,目前国内计算机取证技术大概有如下。
一 数据恢复技术
二 IP地址获取技术
三 入侵检测技术“IDS”
四 加密解密技术和口令获取
五 反向工程技术
六 信息搜索与过滤技术
等等技术,下面我对比较重要的简单介绍一下。
什么是“数据恢复技术”
通常磁盘被格式化不过是对用于访问文件系统的各种表进重新构造所以格式化之后数据仍然存放在磁盘上等待新的文件覆盖他,数据恢复技术就是用于在未被覆盖前恢复所删除文件目前国内可恢复1-2被覆盖删除的文件。
什么是“IP地址获取技术”
由于IP地址获取牵撤到很多网络技术所以我这里介绍下重要的一般ISP会通过RADIUS协议支持和路由器和中央用户目录之间验证请求,这一协议可以用于用户身份认证和记帐。RADIUS服务器通常是追踪罪犯的唯一设备,RADIUS服务器一般会对每一个注册请求的记录保存一年以上。
什么是“IDS入侵检测技术”
IDS一般有两种使用方式:基于网络和主机。基于网络的IDS一般安装在一个网段,检测网段内每台机器的流量和未授权活动记录所有日志,基于主机的一般在单各主机上执行检测记录特定事件或者模式边变化,等等。
下面说反取证技术
一般常见的技术有代理,跳板,数据抹擦等等。
当你进入跳板肉鸡操作就会有很多的记录比如说远行痕迹、网络浏览地址、缓存、历史记录和临时文件日志记录等这些如果你只通过普通的日志清除工具都可以恢复,所以我向大家推荐几款工具Powerful.Cookies 通过3次覆盖技术删除电脑上所以执行痕迹,不针对日志。
ultrashredder 针对单一文件覆盖删除,拖拉要删除的文件比如日志选择覆盖次数即可。
SystemShield 针对所有已经删除的文件在次清理。
经过本人测试通过软件恢复工具FinalData和EasyRecovery不可恢复。
对于跳板技术 建议一般使用3层先找一台国外的跳板在接入国内的等等。
有不对的请大家指教!