这篇文章主要向
大家介绍在现在网络攻击中常用的反侦查
技术,包括隐藏IP,销毁数字证据,窃取数据等手段,仅供参考。
1、隐藏IP
这个部分目的很简单,一旦管理员发现被入侵,那么很容易找到攻击者IP,所以如果使用自己的IP,很容易引火上身。这里提供集中常见的手段来隐藏IP。
通过“代理猎手”查找匿名代理
以肉鸡作为跳板,自己搭建sock代理
使用VPN隐藏真实IP
修改HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesRemoteAccessParametersIP主键下的IPAddress键值,改为要伪装的IP,按下F3继续查找所有的IPAddress,全部修改后就行了
2、窃取数据
这个也很简单,首先如果要窃取网络上的数据,可以使用sniffer,开启网卡的混杂模式,局域网的数据就一览无余了。这个可以自己借助WINPCAP开发包编程实现,不过既然有现成的,就不用那么麻烦了,可以直接借助ARP Sniffer实现。
还要值得一提的是,如果是一块硬盘,但是数据被按照正常方式删除,那么借助FinalData之类的工具也有很大几率能恢复出原有文件。
3、数据的加密与擦除
EXE文件如果是为了保护源代码,可以直接加壳,USP,ASPack都可以。这里推荐一款
软件,tElock,这个软件集加密,压缩为一体,而且对动态跟踪也有很好的防范机制,还可以隐藏加壳类型。
微软公司系统自带的EFS加密技术其实安全等级很高,如果没有私钥,想要打开加密的文件,几乎不可能。
至于文件擦除技术,可以借助WipeFile软件,这款软件提供了美国海军标准,国防部批准,北约空军标准,美国国防部标准等14种文件擦除技术,数据一旦擦除,则不可恢复。
当然,对于一块要转手卖掉或者报废的硬盘,我个人喜欢这样处理:
把硬盘挂接到另外一台计算机上,使用WinHex打开这块硬盘,选择使用全0或者全1数据填充,这个过程一旦完成,那么再专业的数据中心也无法恢复硬盘的数据了。
4、数据反取证技术
取证工具可以将计算机的使用痕迹扫描出来,包括系统日志,防火墙与监控系统的日志,反
病毒软件日志,会话日志,IM聊天记录等,有些取证工具还可以扫描出cookies等信息,X-Ways Trace就是取证工具中表现比较好的。
那么每当攻击过程结束之后,就要想办法击溃这些数字证据。数字证据在司法中并不能充当真正的证据,因为所有证据都要证明它的真实性和唯一性,数字证据只有在当时的系统环境下才有作用。
这也告诉我们,每当攻击结束,那么就要想尽一切办法清除任何日志,当然,日志被清除肯定会引起怀疑,最好是能够写入假的日志,效果比较理想。
这就是数字反侦查的基本情况。