欢迎光临ag真人平台官方网站有限公司!

AG真人平台首页_AG真人平台首页v3.5.4-SSD

大多数想要隐藏敏感数据的人都远离信息安全专业人员,因此他们用来隐藏数据的方法很幼稚。在本文中,我们将研究隐藏信息的不同方法,并讨论是否值得使用它们。

更多主题:如何隐藏机密信息

 

将数据移动到另一个文件夹

不,我们现在讨论的不是“隐藏”文件夹“sopromat 课程手册”中的一组色情图片。我们正在讨论一种简单但非常有效的方法来隐藏信息,只需将某些数据移动到磁盘上的另一个位置。

它是什么,明显的愚蠢或超然的纯真?无论这种方法看起来多么幼稚,它都可能适用于稀有和奇异的数据 - 例如跳转列表(顺便说一句,你知道它是什么吗?)或 WhatsApp Messenger 数据库。

攻击者可能根本没有时间或足够的决心来搜索整个计算机以从……搜索数据库,实际上是从什么?有数百甚至数千个即时通讯程序;去了解用户使用的是哪一个。而且,请注意,每个应用程序都有自己的文件路径、名称,甚至是自己的数据库格式。在具有数万个文件夹和数十万个文件的计算机上手动搜索它们是一项无望的任务。

如何不隐藏信息
跳转列表

显然,这种隐藏机密信息的方法只有在攻击者几乎没有时间彻底分析计算机内容的情况下才会奏效。在这种情况下,并且只有在这种情况下,这种方法——让我们称之为“难以捉摸的乔方法”——才能起作用。

使用“安全”的通信方法

安全信使并不总是足够安全。这是对 SQLite 格式的 freelist 数据库领域的研究,以及对 Messenger 制造商的官方要求(例如,微软将毫无疑问地将 Skype 对话日志提供给调查 - 毕竟它们存储在公司的服务器上),以及甚至向智能手机制造商提出要求(我记得这个故事,黑莓帮助加拿大警方找到了一伙决定在旧的黑莓操作系统平台上使用公司专有信使的毒贩团伙)。

在这方面,我想到了一个奇怪的案例。美国警方特别大规模拘捕了一名涉嫌贩毒的男子。嫌疑人具有一定的 IT 知识,并选择 Apple iMessage 作为他唯一的沟通方式。iMessage 不存储在 Apple 的服务器上,嫌疑人在每次会话后都会仔细清除对话历史记录。他的 iPhone 备份没有什么有趣的。

然而,当警察开始研究他的电脑(罪犯有一台 Mac)时,他们的喜悦是无限的:在电脑上发现了数十万条信息,而罪犯(现在肯定是罪犯)却没有完全怀疑。(当时)Apple 的新奇事物,即在同一帐户中注册的所有设备之间同步 iMessages 的 Continuity 系统,有助于将毒贩定罪。

道德?

这里没有道德:如果您不是信息安全专家,就不可能知道这样的时刻。唯一的选择是使用真正安全的通信方式,并了解信息安全方面的所有创新。

重命名文件

另一个隐藏信息的天真尝试是重命名文件。听起来很简单,例如,将某些安全信使的加密数据库重命名为 C : \ Windows \ System32 \ oobe \ en - US \ audit之类的名称mui非常有能力通过专家的审查。事实上,成千上万的文件存储在 Windows 目录中。在其中找到不寻常的东西(尤其是在尺寸不突出的情况下)是一项手工劳动无法解决的任务。

如何搜索此类文件?

一个天真的外行不知道存在专门用于搜索用户磁盘(和磁盘映像)上的此类文件的一整类专门程序是可以原谅的。

不仅使用文件名搜索;在分析已安装应用程序的跟踪(例如,在 Windows 注册表中)时使用集成方法,然后跟踪这些应用程序访问的文件的路径。

搜索重命名文件的另一种流行方法是所谓的雕刻或端到端内容搜索。完全相同的方法,也称为“签名搜索”,从一开始就被用于所有反病毒程序。使用雕刻,您可以在低级别分析磁盘上文件的内容和磁盘本身(或仅占用区域)的内容。

我应该重命名文件吗?

这是“Elusive Joe”的另一个技巧,它只能防御一个非常懒惰的攻击者。

删除文件

不确定今天尝试通过删除文件来隐藏证据是多么“天真”。事实是,从普通硬盘中删除的文件通常可以很容易地使用众所周知的签名搜索来恢复:磁盘被逐块扫描(现在我们对未被现有文件占用的碎片感兴趣,并且其他文件系统结构),每个读取块分析数据是否符合许多标准(无论是某种格式的文件的标题,文本文件的一部分,等等)。

顺便说一句,在这种扫描的帮助下,以全自动模式执行,成功(至少部分)恢复已删除文件的可能性非常高。

如何不隐藏信息
取证软件(在屏幕截图上 - Belkasoft Evidence Center)可以使用 SQLite 数据库的深度分析来恢复已删除的数据,例如 Skype 聊天

删除文件似乎是一种经典的“天真”隐藏证据的尝试。但不是从 SSD 驱动器中删除文件时。

在这里,您需要详细说明 SSD 上数据的删除(和后续读取)是如何工作的。您肯定听说过“垃圾收集器”和 TRIM 功能的存在,它们允许现代 SSD 在写入(尤其是重写)数据时保持高性能。TRIM 命令由操作系统发出;它告诉 SSD 控制器具有某些物理(实际上不是)地址的某些数据块已被释放并且不再使用。

控制器的任务现在是清除(擦除数据)指定的块,以这样一种方式准备它们,以便它们可以快速写入新信息。

但是擦除数据是一个非常缓慢的过程,它会在磁盘负载下降时在后台发生。如果在 TRIM 命令之后立即有一个写命令到达同一个“物理”块?在这种情况下,控制器只需修改转发表中的值即可立即将这样的块替换为空块。用于擦除的块接收到不同的“物理”地址,或者被放置在与保留区域不同的不可寻址池中。

parameter
application

相关产品推荐

友情链接: 织梦主机 企业网站模板 掌柜子 建站素材 创业找项目 织梦模板 微信小程序开发

在线客服 :     电话:4008-668-998     邮箱: 329465598@qq.com

地址:ag真人平台官方网站

ag真人平台官方网站✅✅【开户指定✅:【大发彩票QQ1020664】 】倾情打造,彩票界规模最大、设施最完整、注册资金5.5亿美元.极速赛车官网为您提供彩票平台注册、登录 ...

Copyright © ag真人平台官方网站 版权所有