Research on Computer Anti——Forensics �D*~ j5[uc
殷聯(lián)甫(嘉興學(xué)院信息工程學(xué)院3]400]) �xFyh;i.R
摘要:在計(jì)算機(jī)取證日益受到人們重視和關(guān)注的今天�����,人們對(duì)反取證技術(shù)的研究相對(duì)較少��。本文主要介紹目前常 j���p�UN�<
見(jiàn)的反取證技術(shù)和工具��,并給出幾個(gè)實(shí)現(xiàn)反取訌的具體實(shí)例�����。 V-N6��i�z
關(guān)鍵詞:計(jì)算機(jī)取證計(jì)算機(jī)反取證計(jì)算機(jī)安全計(jì)算機(jī)犯罪 �i? �tc* �
1 引言 g\2,�a) #0
在計(jì)算機(jī)犯罪日益猖獗的今天����,計(jì)算機(jī)取證正日 �Pc_]Iok E
益受到人們的關(guān)注和重視。計(jì)算機(jī)取證就是對(duì)計(jì)算機(jī) >A�;:Q(B�
犯罪的證據(jù)進(jìn)行獲取��、保存�����、分析和出示����,它實(shí)際上是 Zc4�?X�\ad
一個(gè)掃描計(jì)算機(jī)系統(tǒng)以及重建入侵事件的過(guò)程。與計(jì) �wsO3H`8S>
算機(jī)取證研究相比�����,人們對(duì)反取證技術(shù)的研究相對(duì)較 ~$z�����q�
少�����。對(duì)于計(jì)算機(jī)取證人員來(lái)說(shuō)���,研究反取證技術(shù)意義 �s�&��mMt�
非常重大��,一方面可以了解入侵者有哪些常用手段用 CFMC�$�q0&
來(lái)掩蓋甚至擦除入侵痕跡:另一方面可以在了解這些 0�vI�L�5��
手段的基礎(chǔ)上�����,開(kāi)發(fā)出更加有效��、實(shí)用的計(jì)算機(jī)取證工 LF}�(q`g.�
具���,從而加大對(duì)計(jì)算機(jī)犯罪的打擊力度,保證信息系統(tǒng) DJ;N�s�\��
的安全性�����。 8oA 3MI"Wh
計(jì)算機(jī)反取證就是刪除或者隱藏入侵證據(jù)使取證 :]#8foXl`
工作無(wú)效���。目前的計(jì)算機(jī)反取證技術(shù)主要有數(shù)據(jù)擦 OrD<�+zKl
除���、數(shù)據(jù)隱藏等。數(shù)據(jù)擦除是最有效的反取證方法����,它 {t�^j<|�
是指清除所有可能的證據(jù)(包括索引節(jié)點(diǎn)、目錄文件和 Y�$RB/6�M!
數(shù)據(jù)塊中的原始數(shù)據(jù)等)��,原始數(shù)據(jù)不存在了����,取證工 %K�7EA4oZ:
作自然無(wú)法進(jìn)行�����。數(shù)據(jù)隱藏是指入侵者將暫時(shí)還不能 8��rm+)O��
被刪除的文件偽裝成其他類型或者將它們隱藏在圖形 D �F�lW$~u
或音樂(lè)文件中�����,也有人將數(shù)據(jù)文件隱藏在磁盤上的 �w�9$G6ZwU
Slack空問(wèn)����、交換空間或者未分配空間中�����,這類技術(shù)統(tǒng) H@�F[�Ni+�
稱為數(shù)據(jù)隱藏����。 �(D�~CzV;f
2 數(shù)據(jù)擦除 Br�UH\�-kc
數(shù)據(jù)擦除是阻止取證調(diào)查人員獲取、分析犯罪證 z)9�6�WWi�
據(jù)的最有效的方法�,一般情況下是用一些毫無(wú)意義的、 � 7}/E_GKY
隨機(jī)產(chǎn)生的‘O‘����、‘1‘字符串序列來(lái)覆蓋介質(zhì)上面的數(shù) �-K~8.[cJU
據(jù),使取證調(diào)查人員無(wú)法獲取有用的信息。目前最極 [\Sk� _ZK�
端的數(shù)據(jù)擦除工具是Data Security Inc�����、開(kāi)發(fā)的基于硬 k K�S‘#5q[
件的degaussers工具�,該工具可以徹底擦除計(jì)算機(jī)硬 eC0E~�$ 9�
盤上的所有電磁信息。其它用軟件實(shí)現(xiàn)的數(shù)據(jù)擦除工 Y� �Q.IFZD
具既有商業(yè)軟件包�,也有開(kāi)放源代碼的自由軟件���,其中 >^�x�\ZA�"
最有名的是基于UNIX系統(tǒng)的數(shù)據(jù)擦除工具The Deft— ZO}�7lf�S{
ler‘S Toolkit�,The Defiler‘S Toolkit提供兩個(gè)工具來(lái)徹底 (Z8[Ck $�S
清除UNIX類系統(tǒng)中的文件內(nèi)容�����。 �|!{G�Gb T
2.1 Necrofile的使用 [dI&z,_[|.
該工具列出并清除在指定時(shí)間范圍內(nèi)被刪除文件 F�WcZ%�2h‘
的i節(jié)點(diǎn)的內(nèi)容���,同時(shí)清除與這些i節(jié)點(diǎn)相關(guān)的數(shù)據(jù)塊 (�_*c��@��
的內(nèi)容��。這樣取證調(diào)查人員便無(wú)法獲得文件系統(tǒng)的任 T}asmtSX�/
何證據(jù)�����,取證工作自然無(wú)法正常進(jìn)行����。 1lz[[7n9`a
當(dāng)調(diào)用Necrofile程序運(yùn)行時(shí),Necrofile程序首先 aeFF"a�e�=
檢查i節(jié)點(diǎn)表中每個(gè)i節(jié)點(diǎn)的狀態(tài)�����,對(duì)于每個(gè)"臟(d.n. T8"��Vm#�T
Y)"i節(jié)點(diǎn)予以特別的關(guān)注��,將每個(gè)符合清除條件的 P>Qi66be:B
"臟(di )"i節(jié)點(diǎn)的內(nèi)容清空�,然后再寫回到i節(jié)點(diǎn)表 iKKh34� BS
中。下面是使用Necmfile工具清除被刪除文件i節(jié)點(diǎn) �hF^;Mr�*N
內(nèi)容的一個(gè)例子: P(�3gz�n��
(1)第一步:用TCT工具包中的ils工具在指定分 #:uW;>O]MS
區(qū)上查找被刪除的i節(jié)點(diǎn) 4F�."��.��
替|ils/dev/hda6 ?�5 !��:�l
classl hostldevicelsta~_ "HpD=svzBe
time KH�F0�-��
.1slXXXl/dev/hda6 l1026771982 � `M^CO�L�
sU no l st_alloc l st—uid l st—gid l st—mtime l st—afime l st— (Ks>cv <�
dimelst_ dtimel odel\ � Q(FvL\=^
st_ �E(�+]�p"�
nlinklst_ yton8>t"+_
sizelst_ pB�cn@/xNT
blockOlst blockl K}xa} A2Uc
12 I f 1 0 1 0 I 10267 1841 I 1026771796 I 1026771958 I �d�_�Tlg�
1026771958 l100644 lO l86 l545 l0 C6 1@Di[z
13 I f 1 0 1 0 I1026771842 I1026771796 I1026771958 I ? 0:b 9M]dI�D0Z<
1026771958I10o64410I86I54610 . )� s��aIXP
. # :W$K�#~h)m
# (2)第二步:用Klismaflle工具清除所有被刪除文 h � nIf7vJ
(2)第二步:用Necrofile工具定位并清除被刪除i 件目錄項(xiàng)的內(nèi)容 fX[qi-�<Lw
節(jié)點(diǎn)的內(nèi)容 c�zk� �i.[
#./necroflle —V —V —V —V/dev/hda6 6%�RmZ�\NG
Scrubbing device:/dev/hda6 (~T�Q23‘RL
12 = m:Ox3d334d4d a:Ox3d334d4d C �qxmPw[8Yy
d:Ox3d334d4f j?ND-�`�8z
13 = m:Ox3d334d4d a:Ox3d334d4d C |-��(Npd<
d:Ox3d334d4f e"0 ‘1o\H�
#./klismafile —V/mnt �@‘~YD6f<m
Scrubbing device:/dev/hda6 R>>9�MdK
cleansing/ S ;[{1L,j
0x3d334d4f 一> a c!�qL�L��[
一> b )�` �H5hsr
0x3d334d4f . pfdi?�}*fk
# OV��tX�slX
(3)第三步:驗(yàn)證被刪除i節(jié)點(diǎn)的內(nèi)容已被清空 eb]CC��DK�
#./ils/dev/hda6 �u&!�4ki�;
classlhowldevicelstan_ oS2rl3M%+=
time L�a8l f7<�
iIs I XXX I/dev/hda6 I 1026772140 om��B{�G�`
st_ �B�‘f�sxv‘
inoIst_ �{��z=#yzJ
allocI st— uidI st— gidI st— mtimeIst— atimeI st— Vx+�H&�@,%
dimeIst_ Y[]JMm�F V
dtimelst_ model\ _ B� s�r�
st nlinkIst sizeIst blockOIst block1 MH�`��M]
# QC:c�$Or<5
在上面的例子中����," ‘是TCT工具包中的一個(gè)工 B��!r�a wZ
具,主要功能是查找并列出指定分區(qū)上所有被刪除的i !nu|(�dl�&
節(jié)點(diǎn)的內(nèi)容��。Necrofile工具定位并覆蓋由iIs查找到的 �^v���F.�C
所有i節(jié)點(diǎn)���,將其內(nèi)容全部清空���,這樣iIs再也無(wú)法找到 �K~o~z�}{�
這些被刪除的i節(jié)點(diǎn)。i節(jié)點(diǎn)的內(nèi)容被清除以后����,接下 >Ks3)�rSgt
來(lái)的工作是要清除文件目錄項(xiàng)的內(nèi)容�����。 ;���#� -Y
2.2 Klismaflle的使用 �\�5u%5VIb
該工具完成的主要功能是清除被刪除文件的目錄 +`divOJth�
項(xiàng)的內(nèi)容����。下面是使用該工具清除被刪除文件目錄項(xiàng) II9vL8��l
內(nèi)容的一個(gè)例子: aH+‘T93pJB
(1)第一步:用fls工具列出指定分區(qū)上所有被刪 ,[*D>`|]2w
除的文件目錄項(xiàng) a‘htiLck|`
# .Iris —d/dev/hda6 2 ]p�%M)v��g
7 0.a(chǎn) Eh�@V����]
Total files found:29 C>Ii?S�|q
Diredories checked:1 2‘�F\ |Y .
Dirents removed :26 �6!�m`RxE
# V\SZ"�ryJo
(3)第三步:驗(yàn)證被刪除文件目錄項(xiàng)的內(nèi)容已被清空 u80VB@4x)1
#.Iris —d/dev/hda6 2 �i{0^?{�c@
# Iqf|8y� BK
在上面的例子中����,"fls"是TCT—UTILS軟件包中的 <:"h��grcO
一個(gè)工具,主要功能是檢查目錄文件�����,列出被刪除文件 {��b�uE"�(
目錄項(xiàng)的內(nèi)容���。本例中先用fls工具列出根目錄下所 ,Q�^;-6!U]
有被刪除文件的目錄項(xiàng),然后用Klismafile工具清除所 {y@3Y;�> m
有被刪除文件目錄項(xiàng)的內(nèi)容����,最后fls再也無(wú)法看到文 t` �Bq�WBJ
件目錄項(xiàng)的內(nèi)容。 �D�@)F��5@
3 數(shù)據(jù)隱藏 = �o��t l:
數(shù)據(jù)隱藏主要是阻止調(diào)查取證人員在取證分析階 �e�&[4‘[`]
段對(duì)獲取的數(shù)據(jù)進(jìn)行有效的分析�����。目前實(shí)現(xiàn)數(shù)據(jù)隱藏 v+X7�U��C�
的常用方法主要有以下幾種。 i�q%KCch(,
3.1 實(shí)現(xiàn)數(shù)據(jù)隱藏的幾種常用方法】【‘】 }�n�T��‘$|
(1)數(shù)據(jù)加密�����。數(shù)據(jù)加密是用一定的加密算法對(duì) b%U-@c�!�N
數(shù)據(jù)進(jìn)行加密��,使明文變?yōu)槊芪?��。但這種方法不是十 Nvf�0W `�[
分有效��,因?yàn)橛薪?jīng)驗(yàn)的調(diào)查取證人員往往能夠感覺(jué)到 K;b�#z.�{�
數(shù)據(jù)已被加密��,并能對(duì)加密的數(shù)據(jù)進(jìn)行有效的解密�。 �@i��; �n6
(2)更改文件的擴(kuò)展名����。在Windows系統(tǒng)中,更 E$ZqUs[ rv
改文件的擴(kuò)展名是一種最簡(jiǎn)單的數(shù)據(jù)隱藏方法�。例 gu�� PbpB
如,某人不想讓別人看到其WOrd文檔里的內(nèi)容�,并且 ��Xvn,�mZ4
不想使其成為對(duì)自己不利的證據(jù),那么他可以將文件 ��i^ x[dXP
的擴(kuò)展名從.doc改為.ipg��。這樣的話���,無(wú)論是Internet �9_��2"s/0
Exploer還是圖標(biāo)外觀��,都顯示該文件為一個(gè)JPEG圖 _[o��P��yL
片�。對(duì)于經(jīng)驗(yàn)不足的調(diào)查取證人員,可能永遠(yuǎn)也不會(huì) Feo$P[;Y�R
想到該文件其實(shí)是一個(gè)文檔���,即使你雙擊該圖標(biāo)���,Win· ,?f�J|\f��
dows也會(huì)試圖使用默認(rèn)的JPEG文件的瀏覽器來(lái)打開(kāi) d��^M$7\s2
它。 fA 2�Q Z9�
(3)隱寫術(shù)�。隱寫術(shù)的意思是"隱藏在普通的視 <8^]TF���d
覺(jué)之下"。Steganography(隱寫術(shù))這個(gè)單詞是由希臘 y��U �l ;
詞語(yǔ)里的"Covered writing"轉(zhuǎn)化而來(lái)的�,是指有隱藏特 �zbttQ�~R}
性的數(shù)據(jù)。密碼隱寫術(shù)或信息偽裝夾帶技術(shù)是使用一 "$��T/Q6q
些其他的:-I~)Jn密數(shù)據(jù)對(duì)目標(biāo)進(jìn)行隱藏�����,我們把這種非 |mUz�m6 ��
加密的數(shù)據(jù)稱為"載體"��。載體通常是一個(gè)多媒體文 b4rG�N<B+W
件���,可能是聲音文件也可能是圖像文件。 �(SMP�"M)
偽裝夾帶技術(shù)通常通過(guò)兩種方法對(duì)數(shù)據(jù)進(jìn)行保 n76go2n���
護(hù):第一種是使數(shù)據(jù)不可見(jiàn)����,隱藏它的所有痕跡:第二 �}��0�UV<B
種是對(duì)數(shù)據(jù)進(jìn)行加密����,其過(guò)程不僅僅是對(duì)數(shù)據(jù)進(jìn)行隱 *%�@�N MnY
藏����。如果隱藏的文件被發(fā)現(xiàn),那仍需要對(duì)其進(jìn)行解密 ;?�$Y"4�6P
才能使用�。偽裝夾帶技術(shù)會(huì)給取證調(diào)查帶來(lái)很大的麻 JG2[���-;
煩。但幸運(yùn)的是它的使用受到時(shí)間因素的限制�,因而 W .Zi>}5X�
沒(méi)有得到廣泛的使用。如果你想要"偽裝夾帶"一個(gè) ��2f{�g�|
文件�����,那你一次只能對(duì)一個(gè)文件進(jìn)行操作�����。許多事件 012T#F96�,
中包含成百上千個(gè)文件��,嫌疑人不可能有時(shí)間來(lái)找到 xP#<*�7|v�
那么多合適的載體并偽裝夾帶所有的文件��。 F5� )*A=X�
目前已有一些商業(yè)的隱寫術(shù)應(yīng)用軟件�,數(shù)字水印 2�W,jo�d
就是其中的一種���,它主要是將數(shù)據(jù)隱藏到位圖中。 g�>E�{%&$O
(4)改變系統(tǒng)環(huán)境�����。系統(tǒng)環(huán)境改變之后����,系統(tǒng)會(huì) GGl�/K‘48�
給出假的關(guān)于數(shù)據(jù)內(nèi)容和活動(dòng)的信息。 ~Y�Ma�f x^
3.2 實(shí)現(xiàn)數(shù)據(jù)隱藏的具體實(shí)例川 e �~j�_N]I
目前在UN1)(系統(tǒng)中使用最廣泛的取證分析工具 �&�MP: �w
是由Dan Farn1er和Wietse Venema開(kāi)發(fā)的The Coro- |-VI�i>�gV
nor‘s"Toolkit���,即TCT工具包�����。盡管TCT工具包的功能 y/ \8��3�
非常強(qiáng)大��,但TCT工具包存在一個(gè)致命的缺陷,該缺陷 T�$_L�N\;g
源于它在實(shí)現(xiàn)時(shí)有兩個(gè)致命的錯(cuò)誤:一個(gè)錯(cuò)誤是認(rèn)為 Nt�q uV�hm
數(shù)據(jù)塊不能分配給根i節(jié)點(diǎn)之前的任意i節(jié)點(diǎn):另一個(gè) WmkN,�4g�P
錯(cuò)誤是沒(méi)有考慮到壞塊i節(jié)點(diǎn)�����。這樣使得TCT工具無(wú) PP��0>iM5@
法檢查入侵者隱藏在磁盤的某個(gè)特定區(qū)域上面的數(shù) I�B�^p�1�n
據(jù)�。Runefs就是一個(gè)利用TCT工具包的缺陷而在 Heu.!}-���
UNIX環(huán)境下開(kāi)發(fā)成功的數(shù)據(jù)隱藏工具�����。 Egk&�yI$0W
下面是一個(gè)使用runefs工具包建立�、使用隱藏空 Dm Gt�&�`|
間的具體實(shí)例: {G A3\�nc*
(1)第一步.建立隱藏空間 _�)�^KQ*tT
#df—k/dev/hda6 �|<]M3�*�7
Filesystem 1 k—blocks Used Available Use% Mounted pn5/W wP7I
on 9o;�c Z]U
/dev/hda6 1011928 20 960504 1% /mnt M"�R:��5 B
替}bin/mIkrune —v}dev/hda6 ?�8=f��~�#
+ + + bb blk + + + �F/WDMnW�q
bb blk一>staf = 33275 �ES3X))�sT
bb blk一>end = 65535 � ��,irI�t
bb_ �94�=-@$�O
blk一>group = 1 V*@_�H�� h
bb blk一>size = 32261 �nF@�il lu
+ + + i)[q�^3�%9
rune size:126M �$Hv�)@x$R
#df—k/dev/hda6 <o:�1}�‘�0
Filesystem l k·-blocks Used Available Use% Mounted 5��E~z~�4�
0n 8`<9s{!.;
/dev/hda6 1011928 129196 831328 14% /mnt DJe��D�l?�
#e2fsck —f/dev/hda6 `��~�VCd~�
e2fsck 1.26 (3一Feb一2002) 70Hi7 -m�-
Pass 1:Checking inodes���,blocks ���,and sizes i* I3�*Xm
Pass 2:Checking diredory strudure k:�^$&G5S
Pass 3:Checking directory connectMIy �f�Gp�-:7�
Pass 4:Checking reference counts Y �V%o% R=
Pass 5:Checking group summary information \�{�~l�B2j
Idevlhda6:11/128768 files (0.0% non — configu— s,&>��]���
OUS),36349/257032 b10cl(S �f�Md0�jV3
# #,�mD �6v
上面的操作演示了如何在磁盤上分配126M的隱 +v0wfb�t#|
藏空間����、該隱藏空間如何被內(nèi)核注冊(cè)。 �E]Htl � a
(2)第二步:使用隱藏空間 d@G5M#9<Z
#cat readme.tools I./bin/Funewr/dev/hda6 �D*` D&#>H
#./bin/runerd/dev/hda6 > f sC��kjOoMF
#dif f reed me.tools \�m rn�~`�
# �Yr2h�O�L
上面演示了如何在隱藏空間中讀寫數(shù)據(jù)��。 &:K�G&�w�)
(3)第三步:驗(yàn)證TCT工具無(wú)法看到隱藏空間 wA2�".���
#./icat/dev/hda6 1 Sf�J�Pi S
/icat.invalid inode number.1 bb@7��W~
# te��U��@ �
4 Linux環(huán)境下常見(jiàn)的計(jì)算機(jī)反取證 =�t�C7cK:�
工具介紹 ��zc��tf�H
(1)srm(http://srm./) q�~nO�Qm�W
sr丌1是r丌1命令的改進(jìn)���,它在刪除文件時(shí)能將文件 ! 1�c��L
內(nèi)容全部清空���。 ��XPu~9��
(2)、Ⅳipe(http://1~wipe./) BX)L>yB��r
�、Ⅳipe工具能有效地將硬盤表面的信息徹底清除, v({"�X s
使調(diào)查取證人員無(wú)法從硬盤上恢復(fù)任何信息。 �jV�v�9�}
(3)grind(http://prpo.prp.physik./mmse/grind/) �NeY t��O3
grind工具用一些隨機(jī)數(shù)來(lái)覆蓋文件的內(nèi)容��,使調(diào) 07Uc� �L�
查取證人員無(wú)法從硬盤上獲取有價(jià)值的信息�����。 ?_}PJ:e&$~
5 Windows環(huán)境下常見(jiàn)的計(jì)算機(jī)反取證 GwzH m�W�
工具介紹 @�sh&G�c>
(1)Diskzapper(http:///) Mn�xC Y�gW
Diskzapper Dangemus在機(jī)器啟動(dòng)過(guò)程中能自動(dòng) 6�kqBe1�|Z
刪除硬盤上的所有信息����,無(wú)須人工干預(yù)。Diskzapper `m��x�U�|!
Extreme首先生成一串隨機(jī)數(shù)����,然后用生成的隨機(jī)數(shù)覆 QY� 9w��j
蓋硬盤上每個(gè)扇區(qū)的內(nèi)容。 96�V�BD�p/
(2)StealthDisk(http:// invisicom.com/produds/stealthdisk/) NDu ak}/d"
SteelthDisk能隱藏計(jì)算機(jī)上所有的文件和文件 ��c7l@P�)�
夾��,同時(shí)能刪除所有在線Intemet訪問(wèn)記錄�����。 Z.4�kQDC{0
(3)SecurelT2000(http://www.cyphenx.CO.uk/prods.htm �,- 81:V�
SecurelT2000是一個(gè)基于Blowfish算法的448位 S�b �/Dt!8
強(qiáng)數(shù)據(jù)加密工具���,能對(duì)所有的文件和文件夾進(jìn)行加密����。 1‘!P�=B\<&
(4)Cloak(http://www.insightconcepts.tom/pmduds/cloak/) �UW_�r%v<}
Cloak是一個(gè)有效的隱寫術(shù)應(yīng)用軟件��,它能對(duì)文件 ��=>mA�kph
進(jìn)行加密并將其隱藏在位圖文件中����。 i,<qc3-@}�
(5)Invisible Secrets(http://www./invisiblesecrets/index.htm }j�Z�>c9:#
Invisible Secrets是一個(gè)數(shù)據(jù)隱藏工具,能將一些 M�/6UQy,)�
重要數(shù)據(jù)隱藏在5種不同類型的文件中����,這5種文件 �5PA*U_Xmr
包括:.JPEG、.PNG�、.BMP、.HTML平口.WAV�����。 v�H`J|{�kD
6 結(jié)束語(yǔ) <P.E[6� 9{
計(jì)算機(jī)反取證就是刪除或者隱藏入侵證據(jù)使取證 D��NP��;z�
工作無(wú)效��。目前的計(jì)算機(jī)反取證技術(shù)主要有數(shù)據(jù)擦 �E*0!lM�@M
除�、數(shù)據(jù)隱藏、數(shù)據(jù)加密等���。對(duì)于計(jì)算機(jī)取證人員來(lái) �Gr��YXW\7
說(shuō)�,研究計(jì)算機(jī)反取證技術(shù)意義非常重大����,一方面可以 %-%Ur�~"E
了解入侵者有哪些常用手段用來(lái)掩蓋甚至擦除入侵痕 3RAK#x�,.�
跡:另一方面可以在了解這些手段的基礎(chǔ)上�����,開(kāi)發(fā)出更 �S\pi�1V*�
加有效�����、實(shí)用的計(jì)算機(jī)取證工具�����,從而加大對(duì)計(jì)算機(jī)犯 �h#� y qG
罪的打擊力度���,保證信息系統(tǒng)的安全性。 cYTq"Hb�R
參考文獻(xiàn) b:�~?8BO29
1 Defeating Forensics Analysis on Unix. n8&3f� )e�
http://www./show.php? P=59&a=6.2004. H58c^�IT6*
2 Forensics and Anti—Forensics Tools. "+b2KV!�ts
http://www. giac. orglpmcticals/GSEC/Taref-Alkan-GsEC.pclf.2004. �g&;�`bu2G
3 Anti—forensics. ���V�;d%(
http://www./presen-tations/HTCIA-021ant-forensics.ppt.2004. G OFJ+��F�
4 The Art of De filing. .�* 3�VHA|
http://www./presentations/bh—asia-031bh-asia-o3-grugq/bh-asia-3-grugq.pdf.2004 Z5S8��Ml�v
5 Forensics and Anti—Forensics Computing. T ‘l�#4"��
hltp://www.fukt.bth.sel-uncle/paperslforen-sics200212.pdf.2005. 4Q/�"J�%Ja
6 Anti— Forensics Tools. o�%��j�W1�
http://www.networkintru-sion.CO.m.2005. ?��?��PL"
7 王玲����、錢華林,計(jì)算機(jī)取證技術(shù)及其發(fā)展趨勢(shì)�����,軟件 )Q�swUP�J]
學(xué)報(bào)���,2003��,14(9):1635—164 ��。 �/ ��>W$��
8 [美]Warren G.Kruse II�����,Jay G.Heiser著�����,段海新 � ‘E>2�&5
等譯.計(jì)算機(jī)取證:應(yīng)急響應(yīng)精要.人民郵電出版 ?2QvD���~�
社����,2003�����。
|
