Das Anti-Forensik is the term used to describe techniques and actions used in order to prevent proper forensic investigation process or make it much harder.
Diese Maßnahmen haben ein Hauptziel: reduzieren Sie die Menge und die Qualität der digitalen Beweise und machen die Analyse und Untersuchung der es so viel schwieriger, confusing and time consuming as possible.
Verschiedene Arten von Anti-forensischen Techniken können verwendet werden, um Computer-Sicherheit zu erhöhen Löschen und Überschreiben von Daten werden, so that they cannot be read by unauthorized persons.
Aber in der Regel diese Art von Techniken für bösartige Aktivitäten missbraucht: Täter von Computer-Verbrechen, die theirseves gegen die Offenlegung ihrer Handlungen schützen wollen; Benutzer, die Beweise für ihre kriminellen Aktivitäten entfernen möchten; wie Hacker, Terroristen, Pädophile, Fälscher, unehrliche Mitarbeiter, die versuchen, alle Hinweise darauf, dass sie Wert Unternehmensdaten zu stehlen zerstören würde, gaining unauthorized access to computer system or capture secure information and passwords.
Die am häufigsten verwendeten anti-forensische Methoden beinhalten in:
- Allgemeine Daten verstecken und Methoden zum Löschen
- Data Encryption
- Network Protocol Encryption
- Datenlöschung, Deaktivieren Logging-Funktionen
- Physische Vernichtung der Digital Media
- Anonymität
Die Konzentration auf die Microsoft Windows enviroment, unten aufgeführten gibt es einige der verwendeten Techniken:
- Entfernen persönlicher Daten mit Software wie CCleaner
- CCleaner – ist tatsächlich eine der mächtigsten Anti-Forensic Tools, wenn richtig eingesetzt. Mit ein paar Klicks können Sie löschen “alles” interesting from your computer.
- Abwischen - Sicheres Löschen von Daten, so dass es nicht einmal mit Forensik-Software wiederhergestellt werden. Es kann durch eine spezielle Software wie "Radiergummi" oder im Betriebssystem-Funktion zu bauen getan werden (g. Secure Erase in Mac OS X)
- Ändern MAC Attribute - Ändern oder Löschen Dateiattribute zu Zeit Online-Analyse zu vermeiden, freely available software to make this is called timestomp.
- Steganographie – kann verwendet werden, um verschlüsselte Daten in einer Abdeckung Text einbetten, um der Entdeckung zu entgehen werden. Steghide bettet Text in JPEG, MBP, MP3, WAV and AU files.
- Programm Packers – use packers so that attack tools will not be subject to reverse engineering or detection by scanning.
- Verschlüsseln Sie Ihren Computer
Es ist sehr wichtig, um sicherzustellen, dass Ihr Computer verschlüsselt wird: alle, die versuchen, auf Ihren Computer zugreifen können nicht auf die Daten zugreifen.
- Verwenden Sie TrueCryptTrueCrypt ist ein kostenloses Programm, das Sie auf Ihrem Computer verschlüsseln können. Bei der Verschlüsselung mit TrueCrypt, Sie haben zwei Möglichkeiten; die erste ist eine versteckte Container erstellen. A hidden container is an operating system that is impossible prove exists.The second option is to just encrypt your hard-drive with a single password.
- Verschlüsseln Sie Ihre Tastatureingaben
Keyloggers are your enemies and you need to protect yourself from them encrypting your keystrokes.
You can do this using a software called ‘KeyScrambler‘. - Machen Sie die Verschlüsselung Sichere
Die Verschlüsselung ist uneusefull wenn es sein kann leicht umgangen werden. Denken Sie daran, um sicherzustellen, dass die Verschlüsselung sicher zu.
- Achten Sie darauf, Ihr Passwort ist stark
- Bewahren Sie das Kennwort, wo niemand Zugang anderes haben kann, dann
- Erstellen Sie einen gesperrten Bildschirmschoner
- Verwenden Sie eine gute Anti-Virus - Verwenden Sie sichere und verschlüsselte Protokolle
- Verwenden Sie immer SSL-Versionen von Websites. There are also plugin for browsers that will do it for you
- NEVER talk about hacking using emails or public chat, verschlüsselte Chat-Dienste (Skype, ChatCrypt, …)
- NIEMALS persönliche Informationen auf Ihrem Computer (Facebook, Twitter, Bilder, …) - Deaktivieren von Windows Gemeinsame Merkmale
-Deaktivieren Time Stamps
Mit TimeStamps, forensic experts can build a ‘digital time-line’.
Dies kann sehr überzeugende Beweise, wenn sie mit anderen bekannten Beweise Querverweise. Um die Sicherheit zu stärken diese Protokolle können deaktiviert werden.- Benutzer Assist DateiEs gibt eine Registry-Einstellung, die Protokolle und Termine aller Programme starten hält (HKEY_Current_User Software Microsoft Windows Currentvers ion Explorer Userassist)
Sie sollten zwei Unterschlüssel namens Count, löschen diese beiden Tasten. Jetzt der rechten Maustaste auf die UserAssist Schlüssel und erstellen Sie einen neuen Schlüssel mit dem Namen 'Settings'. In diesem Schlüssel DWORD-Wert namens NoLog, den Wert auf 1. Windows wird nicht mehr speichern versteckte Protokolle der genauen Zeiten Ihnen accesing haben Dateien, therefore forensics experts can no longer use these hidden logs to create a digital timeline.
- Letzter Zugriff Logs
Letzter Zugriff wird, ist eine Einstellung, die Sie sehen, wenn Sie offen haben können, ändern, und / oder erstellen Sie Dateien auf Ihrem Computer und ist vergleichbar mit der UserAssist Registrierungsschlüssel. Zum letzten Zugang offen Eingabeaufforderung auf Ihrem Computer deaktivieren, wenn auf Vista oder Windows 7 stellen Sie sicher, als Administrator ausführen. In der Eingabeaufforderung geben Sie den folgenden: fsutil behavior set disablelastaccess 1
Letzter Zugriff wurde nun deaktiviert, in order for it to take effect you must restart your computer.- Deaktivieren von Windows Hibernation
Putting your computer into hibernation means just taking a screenshot of your RAM that gets saved to your hard drive.
- Deaktivieren und Entfernen von USB Logs
Disbale Protokolle USB-Aktivität, Flash-Laufwerke, and removable disks.
This can be valuable if you have a flash drive with sensetive data and you don’t want any logs of it ever being plugged it to your computer.
- Löschen Sie die USBSTOR Registry Setting
The USBSTOR setting contains history of plugged in USB devices.
Löschen Sie den folgenden Registry-Eintrag: “HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Enum USBSTOR”
- Löschen der Datei Setupapi.log
Das Setuppapi.log ist eine Nur-Text-Datei, die die Liste der installierten USB-Geräte und deren Treiber speichert. Use CCleaner to remove it.
- Deaktivieren Sie die Systemwiederherstellung Punkte
System Restore points can be used to bring your computer back to a date when it wasn’t secure and can also be used to restore overwritten files.
- Disable ‘Send Error Report to Microsoft’
Probably you don’t want microsoft having logs of all crashed applications.
- Disable Debugging bei Ausfall
This keeps logs of your computers failures and blue screen info.
- Deaktivieren der Windows-Ereignisprotokollierung
Windows alle Protokolle aller Ereignisse, die auf dem Computer passiert. Offensichtlich ist dies das erste Feature zu deaktivieren, wenn Sie nicht wollen, Tracks haben. Erste, bevor Sie deaktivieren, you must clear all this logs.
- Deaktivieren StandBy mit Registrierung
Erstellen einer. Reg-Datei mit “[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ACPI\Parameters] "AMLIMaxCTObjs"=hex:04,00,00,00 "Attributes"=dword:0070 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ACPI\Parameters\WakeUp] "FixedEventMask"=hex:20,05 "FixedEventStatus"=hex:00,84 "GenericEventMask"=hex:18,50,00,10 "GenericEventStatus"=hex:10,00,ff,00“ - Physische Vernichtung der Digital MediaLassen Sie keine phisical Medien rund um: USB Keys, CD-ROM, Dateien, private Dokumente, persönliche Dokumente. Destroy all die Papiere, Check den Müll und achten auf Nocken, webcams etc.
- Anonymität
- Use a no-log and anonymous VPN service to connect.
- Use Tor for web browsing.
- Never release personal information online and use different aliases.
- Build and use fake information about you.
- Use SSH tunneling to an offshore shell on top of your VPN.
Anti-Forensic: Occult Computing Class
Dies ist ein interessantes Video von einer Klasse mit dem Thema Anti-Forensik auf YouTube veröffentlicht Adrian Crenshaw.
Folien im PDF-Format
Slides in PPTX-Format
MP3 nur die Audio-
The post Anti-Forensic appeared first on .