聪明文档网

    聪明文档网

    最新最全的文档下载
    当前位置: 首页> 正在进行安全检测...

    正在进行安全检测...

    时间:2023-11-19 00:42:57    下载该word文档
    计算机系统信息隐藏反取证技术李佟鸿;王宁;刘志军【摘要】研究了现代计算机系统信息隐藏的各种可能方式.运用HPADCO、隐藏分区等技术分析了磁盘驱动的数据隐藏,运用簇分配、Slack空间等技术分析了NTFS文件系统的各种信息隐藏方法,以及各种方法可能的检测手段.分析各种隐藏技术作为计算机反取证手段,给计算机取证带来的巨大影响.%Thispaperdiscussessomeofthepossiblewaystohidedataonmoderncomputersystems.UsingHPAandDCO,hiddenpartitionandothertechnicalanalysisofthediskdrivedatahidden.Usingtheclusterdistribution,SlackspaceandsoontechnicaldiscussessomeofthemethodsthatcanbeusedtohidedatainNTFSandanalysistechniquesthatcanbeusedtodetectandrecoverhiddendata.Theexplorationofthedifferenthidingtechnologycanbeusedascomputeranti-forensicsmeans,tothegreatimpactsofcomputerforensics.【期刊名称】《计算机系统应用》【年(,期】2013(022005【总页数】5(P1-4,37【关键词】信息隐藏;反取证;隐藏分区;簇分配;Slack空间;NTFS文件系统
    【作者】李佟鸿;王宁;刘志军【作者单位】湖北警官学院,武汉430032;湖北警官学院,武汉430032;湖北警官学院,武汉430032【正文语种】1引言随着计算机取证技术的发展,计算机反取证(ComputerAnti-Forensic技术也正悄然兴起,反取证针对计算机取证过程的各个阶段,破坏电子证据的调查、保护、收集、分析和法庭诉讼,减少被获取的证据数量,降低所获取证据的质量.这对取证技术的发展形成了严峻的挑战.常见的反取证技术主要有数据擦除、数据隐藏、数据加密、网络源反追踪、内核级Rootkit、针对计算机取证工具缺陷进行攻击等技术手段.其中,数据隐藏是计算机反取证最主要手段之一.数据隐藏通常有非物理形式的数据隐藏和物理形式的数据隐藏[1].非物理形式的数据隐藏是通常意义上的信息隐藏,主要包括数据加密、隐写术和数字水印;物理形式的数据隐藏主要是与计算机存储设备和操作系统有关的数据隐藏.这里主要探讨物理形式的数据隐藏.本文主要研究了现代计算机系统各种数据隐藏方法和策略,以及数据隐藏反取证技术对计算机取证造成的影响.2计算机硬件信息隐藏
    2.1HPADCO数据隐藏(1主机保护区域HPAATA-5协议被确立以后,硬盘引入了主机保护区域(HostProtectedAreaHPA技术,通过用ATA命令直接把硬盘后部的一块区域保护起来,用于存储数据和配置文件,作系统和BIOS都无法读取该区域[2].如果一块120GB的硬盘设置了10GB的“隐藏保护区域”,那么在BIOS也只能检测到110GB.硬盘未被保护的区域,可进行正常的读写、分区、格式化,而不会对“隐藏保护区域”内的数据有任何影响.然而,也有一些工具可以对HPA进行修改,以实现数据隐藏.一旦能够进入这些受保护的区域,就可以隐藏大量的数据,这些区域往往不会被取证分析员所重视,部分取证软件还不能有效获取该区域隐藏数据.(2设备配置覆盖DCO设备配置覆盖(DeviceConfigurationOverlay,DCO是硬盘驱动器(HDD另一个隐藏区域,ATA-6标准中首次引入,DCOHPA具有更强隐藏数据的能力[2].设计DCO的目的是允许系统供应商购买来自不同厂商的硬盘驱动器,可能大小不同,然后配置所有硬盘驱动器具有相同的扇区数.如果硬盘驱动支持HPA/DCO,则二者可单独存在或同时存在,如图1所示,1.5TG磁盘驱动,HPA500G,1.5TG磁盘驱动,HPADCO250G.1只含有HPA或同时含有HPA/DCO的磁盘驱动
    (3数据隐藏分析运用相关工具可以创建和修改硬盘驱动器的HPA/DCO.HDAT2SETMAXFeatureToolMHDD.如图2所示,使用MHDD将一个200GSeagate硬盘改为100G.2创建HPA创建或控制一个HPA/DCO隐藏数据,需要如下几步:首先用磁盘编辑工具将需要隐藏的文件拷贝到所在磁盘分区的末端;其次在需隐藏文件所在区域创建一个HPA,所占空间大小可以根据需要任意确定;最后消除源文件空间指向新文件空间的引用,这样在磁盘驱动器上就可以拥有一个隐藏文件.如果不用针对HPA区域的专门软件或硬件工具,是不会发现该文件.对运用HPA/DCO实施数据隐藏的取证分析工具,目前有很多,TheSleuthKitTheATAForensicsToolEnCase,ForensicUltradockv4ForensicRTX.2.2隐藏分区隐藏分区,就是在一般条件下,不显示也不能直接使用的硬盘的部分空间,一般不能访.一些品牌机如联想的笔记本等默认出厂给自己划出一个隐藏分区,以便存储一些系统启动或类似一键恢复的主要文件,并提供启动入口.Windows7操作系统在全新安装或者是对分区格式化的时候,也会预留一定的空间作为启动引导文件存放的分区,该分区为隐藏分.
    另外,也可以使用相关工具设置隐藏分区.DiskGenius可以实施分区隐藏和隐藏分区分析.笔者将某一磁盘分区隐藏,encase4.0分析验证,看不到隐藏的文件,如图3:3将一分区隐藏并用encase4.0分析查看如果运用技术手段将数据隐藏在隐藏分区中,将是有效的反取证手段.所以取证分析员在取证分析的时候,需要运用多种手段,全面考虑证据获取的全面性和完整性.2.3残留空间(SlackSpace信息隐藏磁盘上的残留空间主要有卷残留(VolumeSlack和文件系统残留(FileSystemSlack.卷残留是文件系统所在的分区,介于文件系统末端和分区末端之间的未使用的空间.文件系统残留是文件系统末端,没有分配给任何簇的未使用的空间[3].出现卷残留和文件系统残留的原因是分区不是簇的整数倍造成的.例如,在一个分区里有10001个扇区,10000个扇区分成2500个簇,每簇有4个扇区,那么,最后一个扇区就剩下来,成为文件系统残留.在卷残留隐藏的数据量是不受限制的,因此,嫌疑人可以简单的修改卷残留的大小来隐藏更多的数据.而在文件残留隐藏数据要受到簇的大小限制,比如,文件系统一个簇有八个扇,在这个文件系统残留里所能隐藏的最大数据量是7个扇区的容量.Slack空间隐藏数据,是文件系统及整个计算机系统存储能力的产物.Slack空间数据隐藏技术,充分利用了格式化存储介质的物理特性来隐藏数据.采用该技术进行数据隐藏有双重优点:主机或者载体文件不受任何影响,且不会影响整个数字系统的正常运行.其原因
    在于隐藏数据对于操作系统和文件管理器来说是透明的.Slack空间写入数据实施数据隐藏,也是反取证技术的重要手段之一,犯罪分子可以向该区域隐藏各种信息,如各种病毒、木马以及进行犯罪的软件工具等.检测Slack空间的隐藏数据,简单的方法可以使用Windows命令行工具chkdsk分析文件系统,复杂的就需要借助专门的工具来实现,Guidance公司的Encase软件,NTI公司的GetSlack软件等工具,支持对这些空间的证据的收集和分析.3计算机NTFS文件系统数据隐藏NTFS文件系统是目前微软操作系统的标准文件系统,NTFS文件系统中有很多隐藏数据的方法[4].在这一部分,我们主要讨论常见的数据隐藏方法以及隐藏数据的检测手段.3.1NTFS数据隐藏标准从犯罪嫌疑人的角度来说,一个好的NTFS数据隐藏技术应该符合如下标准:一是正常的系统工具(chkdsk检查不出任何错误;二是隐藏的数据不被改写或被改写的可能性非常低;三是正常的用户不能发现隐藏的数据;四是该技术可以储存一定数量的隐藏数据[5].3.2标注坏簇信息隐藏在硬盘中,无法被正常访问或不能被正确读写的扇区,都称为坏扇区(Badsector.NTFS主文件表(MFT,MasterFileTab,有一个坏簇列表文件(BadClus,它记录了磁
    盘上该卷中所有的损坏的簇号,防止系统对其进行分配使用.把要隐藏的文件所在的簇标记为坏簇,就是把这些簇的“指针”添加到$BadClus的数据运行列表中,就可以实现该文件的隐藏,用这种方法隐藏的数据的大小是不受限制的.犯罪嫌疑人可以简单地分配更多的簇至$BadClus,用它来隐藏数据,而不必担心隐藏数据遭到破坏[5].3.3分配给文件多余的簇信息隐藏这种信息隐藏的方法,是使用分配给文件多余的簇来隐藏数据.比如,一个文件有10752比特大小,NTFS文件系统需要分配给它3个簇,每簇8个扇区,但嫌疑人可以给这个文件分配更多的簇,以实现数据隐藏的目的.用这种方式隐藏数据的大小也不受限制,因为嫌疑人可以根据自己的需要,分配给文件多余的簇.使用这种隐藏方式,有一个弊端,就是存储的文件大小不能改变,一旦文件的容量增加,隐藏数据就被覆盖或丢失.维持存储文件的稳定不变,是维持这种信息隐藏的前提.对于这种数据隐藏方法的检测,可以使用Windows命令行工具chkdsk来分析.目前还没有专门的工具实现这个自动检测过程.3.4文件Slack空间信息隐藏文件Slack空间就是文件有效数据的结尾位置,到最后一个数据块的最末端位置之间的存储空间.Wi-ndows文件系统使用固定大小的簇.我们常见的簇的大小通常是4KB8KB16KB32KB64KB128KB.确定簇大小以后,所有文件的读写,都是按簇为单位进行统一分配.比如说某个分区的簇大小为32KB,一个15KB的文件,系统也会分配32KB
    的空间给它,但在这32KB的空间里边,真正被使用的只有15KB,剩下的17KB是不能再分配给其他文件使用的.这一部分的空间就是所谓的文件SLACK空间[1].有两种类型的文件残留,一种是RAM残留(RAMSlack,另一种是驱动残留(DriveSlack.RAM残留是从文件的末端到最后一个所在扇区的末端,而驱动残留是从下一个扇区的开始到文件所在簇的最后一个簇的末端.如图4所示:4文件Slack结构图由于Windows忽略存储在驱动残留中的信息,存储在该残留中的数据将不被操作系统本身检测.RAM残留也能存储隐秘数据,但由于空间太小,往往不是理想的存储选择.下面使用Slacker.exe工具向文件Slack空间写入数据.Slacker.exe是一款可向NTFS文件系统的文件Slack空间写入数据的工具,以实现数据隐藏[3].Slacker.exe文件test.txt(9字节写入图片文件ptest.jpg,如图5所示:5向一图片文件写入文本文件成功写入数据后,使用encase(4.0版本Ptest.jpg文件写入前后进行分析比对(对文件是生成的分析报告,文件大小没有改变,但最后写入时间发生了变化.同时,文件的其它属性也发生了很大的变化.如图6所示:6比较写入文件后图片文件的变化
    3.5分支数据流信息隐藏分支数据流(AlternateDataStream,ADSNTFS文件系统的一个特性,一种无须重新构建文件系统就能给文件添加额外属性或信息的机制.允许单独的数据流文件存在,时也允许一个文件附着多个数据流,即除了主文件流之外,还允许许多非主文件流寄生在主文件流之中,通过这种简单的文件流方式,可以实施文件隐藏[5].由于针对ADS的取证分析工具很多,而且这种ADS数据隐藏方式健壮性较差,当将带ADS文件流的文件拷贝到非NTFS分区时,此文件流会自动删除,如图7所示.借助ADS流实施文件隐藏已经极为不可靠了.7将带有ADS文件流的文件拷贝到非NTFS分区时询问3.6NTFS数据隐藏分析检测分析NTFS数据隐藏一般是比较困难的,因为该文件系统非常灵活,可以支持各种操作系统,因此就会产生很多的数据隐藏方法.另外,windowsNTFS文件系统的完整文件是保密的、不公开的,因此,有时无法判断在该文件系统数据结构中的值的组合,哪些是合理的,哪些是不合理的.通常检查分析NTFS文件系统的隐藏数据可以分为三个阶段:检查确定是否有任何非正常数据隐藏;提取隐藏数据;覆盖隐藏数据.NTFS文件系统是否隐藏有数据,在每一次计算机取证过程中都要进行必要的分析.
    一般来说,可以从如下几个方面来考虑.一是在计算机取证分析之前,要对NTFS文件系统进行完整性检查,比如使用chkdsk命令行工具检查,出现的任何错误提示,就说明该文件系统或许存在被操纵的可能,而处于不稳定状态;二是检查文件被分配的簇的大小,与系统默认的该文件簇的大小(该大小是由文件本身的大小决定的,一旦发现用户修改了该文件默认簇的大小,就说明是非正常现象,有可能通过修改默认簇大小以隐藏数据;三是在文件系统搜索数据隐藏工具;四是运用微软的OEM工具NFI检查元数据文件,NFI.EXE是微软公司的OEM工具,用此工具可以转储NTFS主文件表的重要的元数据文件,也可以检查元数据文件的任何异常情况[5].4结语数据隐藏技术一直以来就是计算机反取证重要技术之一,一切隐藏数据或通过隐蔽手段保护数据的措施和技术,都可以视为计算机反取证手段.本文讨论的计算机系统的隐藏技术只是部分可能的隐藏数据的方法,随着技术的发展和新系统的产生,会有越来越多的数据隐藏方法出现,隐藏数据的艺术魅力主要还是依赖技术爱好者或嫌疑人的创造力.更多的数据隐藏技术的创造和发现,可以有力的推进计算机取证技术的发展.参考文献【相关文献】1ShinDM,KimY,ByunKD.DataHidinginWindowsExecutableFiles.AustralianDigitalForensicsConference,2008.
    2GuptaMR,HoescheleMD,M.K.R.Hiddendiskareas:Hpaanddco.InternationalJournalofDigitalEvidence,2006,5(1.3Berghel.HidingData,forensics,andanti-forensics.CommunicationsofACM,2007,50(4:15−20.4李步升.基于NTFS的计算机反取证研究与实现.计算机工程,2010,36(19:274−276.5HuebnerE,BemD,WeeCK.DataHidingintheNTFSFileSystem.DigitalInvestigation3,2006:211−226.

    免费下载 Word文档免费下载: 正在进行安全检测...

    TOP热门搜索

    相关推荐:

    脱贫攻坚材料

    • 29.8

      ¥45 每天只需1.0元
      1个月 推荐

    • 9.9

      ¥15
      1天

    • 59.8

      ¥90
      3个月

    选择支付方式

    • 微信付款
    会员须知 联系在线客服 登录账号
    郑重提醒:支付后,系统自动为您完成注册

    请使用微信扫码支付(元)

    订单号:
    支付后,系统自动为您完成注册
    遇到问题请联系 在线客服

    常用手机号:
    用于找回密码
    图片验证码:
    看不清?点击更换
    短信验证码:
    新密码:
     
    绑定后可用手机号登录
    请不要关闭本页面,支付完成后请点击【支付完成】按钮
    遇到问题请联系 在线客服

    侵权投诉  © 2013-2019 http://www.tcm999.cn   站点地图 |  手机版

    本站文档均来自互联网及网友上传分享,本站只负责收集和整理,有任何问题可通过上访投诉通道进行反馈