计算机反取证技术研究.pdf

计 算 机 系 统 应 用 2005 年 第 10 期 计算机反取证技术研究 Research onComputerAnti——Forensics 殷联甫 (嘉兴学院信息工程学院 3]400]) 摘要 ：在计算机取证 日益受到人们重视和关注的今天，人们对反取证技术的研究相对较少。本文主要介绍 目前常 见的反取证技术和工具，并给 出几个实现反取讧的具体实例 。 关键词：计算机取证 计算机反取证 计算机安全 计算机犯罪 1 引言 端的数据擦除工具是 DataSecurityInc、开发的基于硬 在计算机犯罪 日益猖獗的今天，计算机取证正 日 件的degaussers工具，该工具可以彻底擦除计算机硬 益受到人们的关注和重视。计算机取证就是对计算机 盘上的所有电磁信息。其它用软件实现的数据擦除工 犯罪的证据进行获取、保存、分析和出示，它实际上是 具既有商业软件包，也有开放源代码的自由软件，其中 一 个扫描计算机系统以及重建入侵事件的过程。与计 最有名的是基于UNIX系统的数据擦除工具 TheDeft— 算机取证研究相比，人们对反取证技术的研究相对较 ler’SToolkit，TheDefiler’SToolkit提供两个工具来彻底 少。对于计算机取证人员来说 ，研究反取证技术意义 清除UNIX类系统中的文件内容… 。 非常重大 ，一方面可以了解入侵者有哪些常用手段用 2．1Necrofile的使用 来掩盖甚至擦除入侵痕迹：另一方面可以在了解这些 该工具列出并清除在指定时间范围内被删除文件 手段的基础上，开发出更加有效、实用的计算机取证工 的 i节点的内容，同时清除与这些 i节点相关的数据块 具，从而加大对计算机犯罪的打击力度，保证信息系统 的内容。这样取证调查人员便无法获得文件系统的任 的安全性。 何证据，取证工作 自然无法正常进行。 计算机反取证就是删除或者隐藏入侵证据使取证 当调用Necrofile程序运行时，Necrofile程序首先 工作无效。目前的计算机反取证技术主要有数据擦 检查i节点表中每个 i节点的状态，对于每个 “脏 (d．n． 除、数据隐藏等。数据擦除是最有效的反取证方法，它 Y)”i节点予 以特别的关注 ，将每个符合清除条件的 是指清除所有可能的证据 (包括索引节点、目录文件和 “脏 (di )”i节点的内容清空，然后再写回到i节点表 数据块中的原始数据等)，原始数据不存在 了，取证工 中。下面是使用Necmfile工具清除被删除文件 i节点 作 自然无法进行。数据隐藏是指入侵者将暂时还不能 内容的一个例子： 被删除的文件伪装成其他类型或者将它们隐藏在图形 (1)第一步：用TCT工具包中的 ils工具在指定分 或音乐文件 中，也有人将数据文件隐藏在磁盘上的 区上查找被删除的i节点 Slack空问、交换空 间或者未分配空间中，这类技术统 替 |ils／dev／hda6 称为数据隐藏 。 classlhostldevicelsta~ time