Ultima modifica:
Salve ,
So già che a nessuno interesserà questa guida e che sarà praticamente inutile poichè non la leggerà nessuno , ma sappiate che io l'ho creata solo perchè la maggior parte di queste informazioni sono in inglese e spesso molta gente si trova in difficoltà con alcuni termini , quindi eccomi qua.
Partendo dal presupposto che ogni qualvolta che si cancella un file esso non è realmente cancellato perchè rimane in una partizione del disco rigido possiamo dire che ogni nostra attività non è mai realmente sparita del tutto e rimane sempre , infatti i "digital investigators" si occupano proprio di questo , verificare e controllare tutte le attività svolte con un determinato PC
Preconcetto :
Su cosa punta l'antiforense ?
Annotazione :
L'offuscamento a un senso logico solo quando ci sono una grande quantità di files da anallizare , in caso di pochi files è
alquanto inutile inoltre è utile da usare quando i files sono molto dinamici altrimenti è facilmente attaccabile
In cosa consiste :
Annotazioni della quale tener conto
Dettò ciò , ci sono diversi metodi per cancellare le tracce delle azioni svolte :
-I dati possono essere nascosti in innumerevoli modi , uno di questi potrebbe essere di salvarlo in un harddisk esterno / in un sito web di storage (possibilmente non uno che cancelli i files ogni 2 giorni) o in una flashdrive , inoltre possono pure essere cryptati , ci sono innumerevoli metodi di crypting ed è una cosa anche alquanto semplice nonostante ciò è abbastanza difficile fare il processo inverso.. In caso vogliate cryptare un file / archivio salsa20 potrebbe fare al caso vostro , sfrutta chiavi a 256bit e combina tramite XOR tutti i byte
Nonostante ciò quando si cancella un file esso rimane fisicamente come spazio vuoto , chiamato "Unallocated space" , infatti il metodo per cancellare file normalmente serve solo a eliminare il file dalla FAT che comunica con il relativo cluster , eliminare definitivamente un file è assai difficile infatti spesso si utilizza la via più semplice , aggiungere caratteri arrandom e vari numeri per il file così da rendere il file originale praticamente indecrifrabile
Un altro modo potrebbe essere di "ingannare" i forensic tool e per fare ciò ci sono diversi modi :
1)Cambiare estensione ad un file (da .exe a .png per esempio) facendo ciò si cambiano gli header e i footer fregando i vari tool , nulla toglie che ad un ispezione manuale ciò salti immediatamente all'occhio dell'esaminatore
2)Md5 Collision : In sostanza si modifica un file facendo sembrare l'hash quella del file originale così da far credere ai vari tool durante un matching che il file sia noto
3)Time Stamp : Con questa modifica si possono ingannare i tool che creano una timeline MAC
Questa a mio parere è una tecnica veramente sadica , basta disporre di un hard disk che abbia vari terabyte di spazio e utilizzare le tecniche esplicate in precedenza (crypting ecc..) in modo che l'investigatore abbia un incredibile quantità di files da esaminare e ciò porterà via parecchio tempo e risorse all'investigatore che , avendo un incredibile quantità di files da esaminare non si metterà a controllare ogni singolo file facendogli sfuggire determinati dettagli assai importanti...
Guida inutile conclusa , arrivederci
So già che a nessuno interesserà questa guida e che sarà praticamente inutile poichè non la leggerà nessuno , ma sappiate che io l'ho creata solo perchè la maggior parte di queste informazioni sono in inglese e spesso molta gente si trova in difficoltà con alcuni termini , quindi eccomi qua.
Partendo dal presupposto che ogni qualvolta che si cancella un file esso non è realmente cancellato perchè rimane in una partizione del disco rigido possiamo dire che ogni nostra attività non è mai realmente sparita del tutto e rimane sempre , infatti i "digital investigators" si occupano proprio di questo , verificare e controllare tutte le attività svolte con un determinato PC
Preconcetto :
Su cosa punta l'antiforense ?
- Mancanza di tempo e risorse
- Mancanza di conoscenze
Annotazione :
L'offuscamento a un senso logico solo quando ci sono una grande quantità di files da anallizare , in caso di pochi files è
alquanto inutile inoltre è utile da usare quando i files sono molto dinamici altrimenti è facilmente attaccabile
In cosa consiste :
- Distruzione di prove
- Nascondere le prove
- Offuscare le prove
- Creare false fonti di prova
- Sfruttare bug dei vari tool utilizzati
Annotazioni della quale tener conto
Dettò ciò , ci sono diversi metodi per cancellare le tracce delle azioni svolte :
- Data Hiding :
-I dati possono essere nascosti in innumerevoli modi , uno di questi potrebbe essere di salvarlo in un harddisk esterno / in un sito web di storage (possibilmente non uno che cancelli i files ogni 2 giorni) o in una flashdrive , inoltre possono pure essere cryptati , ci sono innumerevoli metodi di crypting ed è una cosa anche alquanto semplice nonostante ciò è abbastanza difficile fare il processo inverso.. In caso vogliate cryptare un file / archivio salsa20 potrebbe fare al caso vostro , sfrutta chiavi a 256bit e combina tramite XOR tutti i byte
Nonostante ciò quando si cancella un file esso rimane fisicamente come spazio vuoto , chiamato "Unallocated space" , infatti il metodo per cancellare file normalmente serve solo a eliminare il file dalla FAT che comunica con il relativo cluster , eliminare definitivamente un file è assai difficile infatti spesso si utilizza la via più semplice , aggiungere caratteri arrandom e vari numeri per il file così da rendere il file originale praticamente indecrifrabile
- Tools weakness (falle dei vari tool)
Un altro modo potrebbe essere di "ingannare" i forensic tool e per fare ciò ci sono diversi modi :
1)Cambiare estensione ad un file (da .exe a .png per esempio) facendo ciò si cambiano gli header e i footer fregando i vari tool , nulla toglie che ad un ispezione manuale ciò salti immediatamente all'occhio dell'esaminatore
2)Md5 Collision : In sostanza si modifica un file facendo sembrare l'hash quella del file originale così da far credere ai vari tool durante un matching che il file sia noto
3)Time Stamp : Con questa modifica si possono ingannare i tool che creano una timeline MAC
- Ultima ma non meno importante
Questa a mio parere è una tecnica veramente sadica , basta disporre di un hard disk che abbia vari terabyte di spazio e utilizzare le tecniche esplicate in precedenza (crypting ecc..) in modo che l'investigatore abbia un incredibile quantità di files da esaminare e ciò porterà via parecchio tempo e risorse all'investigatore che , avendo un incredibile quantità di files da esaminare non si metterà a controllare ogni singolo file facendogli sfuggire determinati dettagli assai importanti...
Guida inutile conclusa , arrivederci