时间:2023-11-19 00:42:57 下载该word文档
计算机系统信息隐藏反取证技术李佟鸿;王宁;刘志军【摘要】研究了现代计算机系统信息隐藏的各种可能方式.运用HPA和DCO、隐藏分区等技术分析了磁盘驱动的数据隐藏,运用簇分配、Slack空间等技术分析了NTFS文件系统的各种信息隐藏方法,以及各种方法可能的检测手段.分析各种隐藏技术作为计算机反取证手段,给计算机取证带来的巨大影响.%Thispaperdiscussessomeofthepossiblewaystohidedataonmoderncomputersystems.UsingHPAandDCO,hiddenpartitionandothertechnicalanalysisofthediskdrivedatahidden.Usingtheclusterdistribution,SlackspaceandsoontechnicaldiscussessomeofthemethodsthatcanbeusedtohidedatainNTFSandanalysistechniquesthatcanbeusedtodetectandrecoverhiddendata.Theexplorationofthedifferenthidingtechnologycanbeusedascomputeranti-forensicsmeans,tothegreatimpactsofcomputerforensics.【期刊名称】《计算机系统应用》【年(卷,期】2013(022005【总页数】5页(P1-4,37【关键词】信息隐藏;反取证;隐藏分区;簇分配;Slack空间;NTFS文件系统
【作者】李佟鸿;王宁;刘志军【作者单位】湖北警官学院,武汉430032;湖北警官学院,武汉430032;湖北警官学院,武汉430032【正文语种】中文1引言随着计算机取证技术的发展,计算机反取证(ComputerAnti-Forensic技术也正悄然兴起,反取证针对计算机取证过程的各个阶段,破坏电子证据的调查、保护、收集、分析和法庭诉讼,减少被获取的证据数量,降低所获取证据的质量.这对取证技术的发展形成了严峻的挑战.常见的反取证技术主要有数据擦除、数据隐藏、数据加密、网络源反追踪、内核级Rootkit、针对计算机取证工具缺陷进行攻击等技术手段.其中,数据隐藏是计算机反取证最主要手段之一.数据隐藏通常有非物理形式的数据隐藏和物理形式的数据隐藏[1].非物理形式的数据隐藏是通常意义上的信息隐藏,主要包括数据加密、隐写术和数字水印;物理形式的数据隐藏主要是与计算机存储设备和操作系统有关的数据隐藏.这里主要探讨物理形式的数据隐藏.本文主要研究了现代计算机系统各种数据隐藏方法和策略,以及数据隐藏反取证技术对计算机取证造成的影响.2计算机硬件信息隐藏
2.1HPA和DCO数据隐藏(1主机保护区域HPA在ATA-5协议被确立以后,硬盘引入了主机保护区域(HostProtectedArea即HPA技术,通过用ATA命令直接把硬盘后部的一块区域保护起来,用于存储数据和配置文件,操作系统和BIOS都无法读取该区域[2].如果一块120GB的硬盘设置了10GB的“隐藏保护区域”,那么在BIOS也只能检测到110GB.硬盘未被保护的区域,可进行正常的读写、分区、格式化,而不会对“隐藏保护区域”内的数据有任何影响.然而,也有一些工具可以对HPA进行修改,以实现数据隐藏.一旦能够进入这些受保护的区域,就可以隐藏大量的数据,这些区域往往不会被取证分析员所重视,部分取证软件还不能有效获取该区域隐藏数据.(2设备配置覆盖DCO