Anti-forense:
A arte e ciência da anti-análise forense parte das falhas da análise forense. Para o atacante poder camuflar-se completamente do analista forense é necessário conhecer o software especializado geralmente utilizado procurando assim falhas que possam ser usadas em seu proveito. O analista irá procurar ficheiros eliminados de acordo com o sistema de ficheiros, mas ainda referenciados no disco rígido. Ora uma forma bastante simples de corromper a investigação é eliminado completamente os ficheiros.
O sistema de ficheiros geralmente guarda um registo de toda a atividade “Input”/”Output” a ficheiros. Os analistas forenses tentam ver esse registo de forma a extrairem o máximo de informação deixada para trás pelo atacante. Além do fato de que as suas ferramentas de análise forense podem reportar incorretamente informação sobre os dados encontrados, elas são completamente inúteis se os dados simplesmente não existirem no disco.
Num sistema de ficheiros Unix os seguintes sítios contêm informações sobre a existência de ficheiros:
1- inodes(ficheiros inutilizados que ainda contenham informações)
2- entradas de diretórios
3- blocos de dados;
Todos eles representam provas cruciais para o analista.
A maior parte das ferramentas existentes para erradicar por completo um ficheiro do sistema apenas eliminam as provas dos blocos de dados deixando assim os inodes e as entradas de diretórios intactos.
Wipe:
Wiping é uma técnica que consiste em zerar todas as trilhas do HD, essa técnica é usada quando você quer formatar um HD e apagar todas os dados sem chance de recuperação .Essa tecnica consiste em uma combinação de 25 tipos de formatação diferentes para o fim de que nenhum desses arquivos seja recuperado.
Algoritimo de Peter Gutmann:
No sentido de se evitar a recuperação e rastreabilidade de arquivos apagados pelos "curiosos" de plantão, ou até mesmo pela perícia forense, foi desenvolvido um algorítimo por Peter Gutmann que consiste em aplicar 35 sequências de “0” e “1” lógicos que devem ser sobrescritos no HD. Impossibilitando assim que o arquivo seja recuperado.
Forma simples:
Uma forma simples de apagar definitivamente um arquivo é exclui-lo normalmente e subscreve-lo,
ou seja, gravar um arquivo por cima do lugar aonde ele estava situado. Se você fizer isso a chance de recuperação do arquivo é de 0.93% ou seja quase impossivel de se recuperar. Mas com os discos rigidos gigantes de hoje em dia fica dificil saber em que parte do hd ele estava situado.
A arte e ciência da anti-análise forense parte das falhas da análise forense. Para o atacante poder camuflar-se completamente do analista forense é necessário conhecer o software especializado geralmente utilizado procurando assim falhas que possam ser usadas em seu proveito. O analista irá procurar ficheiros eliminados de acordo com o sistema de ficheiros, mas ainda referenciados no disco rígido. Ora uma forma bastante simples de corromper a investigação é eliminado completamente os ficheiros.
O sistema de ficheiros geralmente guarda um registo de toda a atividade “Input”/”Output” a ficheiros. Os analistas forenses tentam ver esse registo de forma a extrairem o máximo de informação deixada para trás pelo atacante. Além do fato de que as suas ferramentas de análise forense podem reportar incorretamente informação sobre os dados encontrados, elas são completamente inúteis se os dados simplesmente não existirem no disco.
Num sistema de ficheiros Unix os seguintes sítios contêm informações sobre a existência de ficheiros:
1- inodes(ficheiros inutilizados que ainda contenham informações)
2- entradas de diretórios
3- blocos de dados;
Todos eles representam provas cruciais para o analista.
A maior parte das ferramentas existentes para erradicar por completo um ficheiro do sistema apenas eliminam as provas dos blocos de dados deixando assim os inodes e as entradas de diretórios intactos.
Wipe:
Wiping é uma técnica que consiste em zerar todas as trilhas do HD, essa técnica é usada quando você quer formatar um HD e apagar todas os dados sem chance de recuperação .Essa tecnica consiste em uma combinação de 25 tipos de formatação diferentes para o fim de que nenhum desses arquivos seja recuperado.
Algoritimo de Peter Gutmann:
No sentido de se evitar a recuperação e rastreabilidade de arquivos apagados pelos "curiosos" de plantão, ou até mesmo pela perícia forense, foi desenvolvido um algorítimo por Peter Gutmann que consiste em aplicar 35 sequências de “0” e “1” lógicos que devem ser sobrescritos no HD. Impossibilitando assim que o arquivo seja recuperado.
Forma simples:
Uma forma simples de apagar definitivamente um arquivo é exclui-lo normalmente e subscreve-lo,
ou seja, gravar um arquivo por cima do lugar aonde ele estava situado. Se você fizer isso a chance de recuperação do arquivo é de 0.93% ou seja quase impossivel de se recuperar. Mas com os discos rigidos gigantes de hoje em dia fica dificil saber em que parte do hd ele estava situado.
Comment