Anonimato [Guida] Anti Forensic

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni

TIH

Bannato
17 Marzo 2012
4,798
182
2,268
1,659
Ultima modifica:
Salve ,

So già che a nessuno interesserà questa guida e che sarà praticamente inutile poichè non la leggerà nessuno , ma sappiate che io l'ho creata solo perchè la maggior parte di queste informazioni sono in inglese e spesso molta gente si trova in difficoltà con alcuni termini , quindi eccomi qua.

Partendo dal presupposto che ogni qualvolta che si cancella un file esso non è realmente cancellato perchè rimane in una partizione del disco rigido possiamo dire che ogni nostra attività non è mai realmente sparita del tutto e rimane sempre , infatti i "digital investigators" si occupano proprio di questo , verificare e controllare tutte le attività svolte con un determinato PC


Preconcetto :

Su cosa punta l'antiforense ?

  1. Mancanza di tempo e risorse
  2. Mancanza di conoscenze


Annotazione :

L'offuscamento a un senso logico solo quando ci sono una grande quantità di files da anallizare , in caso di pochi files è
alquanto inutile inoltre è utile da usare quando i files sono molto dinamici altrimenti è facilmente attaccabile


In cosa consiste :




  1. Distruzione di prove
  2. Nascondere le prove
  3. Offuscare le prove
  4. Creare false fonti di prova
  5. Sfruttare bug dei vari tool utilizzati






Annotazioni della quale tener conto

Dettò ciò , ci sono diversi metodi per cancellare le tracce delle azioni svolte :


  • Data Hiding :

-I dati possono essere nascosti in innumerevoli modi , uno di questi potrebbe essere di salvarlo in un harddisk esterno / in un sito web di storage (possibilmente non uno che cancelli i files ogni 2 giorni) o in una flashdrive , inoltre possono pure essere cryptati , ci sono innumerevoli metodi di crypting ed è una cosa anche alquanto semplice nonostante ciò è abbastanza difficile fare il processo inverso.. In caso vogliate cryptare un file / archivio salsa20 potrebbe fare al caso vostro , sfrutta chiavi a 256bit e combina tramite XOR tutti i byte


Nonostante ciò quando si cancella un file esso rimane fisicamente come spazio vuoto , chiamato "Unallocated space" , infatti il metodo per cancellare file normalmente serve solo a eliminare il file dalla FAT che comunica con il relativo cluster , eliminare definitivamente un file è assai difficile infatti spesso si utilizza la via più semplice , aggiungere caratteri arrandom e vari numeri per il file così da rendere il file originale praticamente indecrifrabile




  • Tools weakness (falle dei vari tool)

Un altro modo potrebbe essere di "ingannare" i forensic tool e per fare ciò ci sono diversi modi :

1)Cambiare estensione ad un file (da .exe a .png per esempio) facendo ciò si cambiano gli header e i footer fregando i vari tool , nulla toglie che ad un ispezione manuale ciò salti immediatamente all'occhio dell'esaminatore

2)Md5 Collision : In sostanza si modifica un file facendo sembrare l'hash quella del file originale così da far credere ai vari tool durante un matching che il file sia noto

3)Time Stamp : Con questa modifica si possono ingannare i tool che creano una timeline MAC



  • Ultima ma non meno importante

Questa a mio parere è una tecnica veramente sadica , basta disporre di un hard disk che abbia vari terabyte di spazio e utilizzare le tecniche esplicate in precedenza (crypting ecc..) in modo che l'investigatore abbia un incredibile quantità di files da esaminare e ciò porterà via parecchio tempo e risorse all'investigatore che , avendo un incredibile quantità di files da esaminare non si metterà a controllare ogni singolo file facendogli sfuggire determinati dettagli assai importanti...



Guida inutile conclusa , arrivederci :\
 
  • Mi piace
Reazioni: BlackPhoenixOfDeath
TIH ha detto:
Salve ,

So già che a nessuno interesserà questa guida e che sarà praticamente inutile poichè non la leggerà nessuno , ma sappiate che io l'ho creata solo perchè la maggior parte di queste informazioni sono in inglese e spesso molta gente si trova in difficoltà con alcuni termini , quindi eccomi qua.

Partendo dal presupposto che ogni qualvolta che si cancella un file esso non è realmente cancellato perchè rimane in una partizione del disco rigido possiamo dire che ogni nostra attività non è mai realmente sparita del tutto e rimane sempre , infatti i "digital investigators" si occupano proprio di questo , verificare e controllare tutte le attività svolte con un determinato PC


Preconcetto :

Su cosa punta l'antiforense ?

  1. Mancanza di tempo e risorse
  2. Mancanza di conoscenze


Annotazione :

L'offuscamento a un senso logico solo quando ci sono una grande quantità di files da anallizare , in caso di pochi files è
alquanto inutile inoltre è utile da usare quando i files sono molto dinamici altrimenti è facilmente attaccabile


In cosa consiste :




  1. Distruzione di prove
  2. Nascondere le prove
  3. Offuscare le prove
  4. Creare false fonti di prova
  5. Sfruttare bug dei vari tool utilizzati






Annotazioni della quale tener conto

Dettò ciò , ci sono diversi metodi per cancellare le tracce delle azioni svolte :


  • Data Hiding :

-I dati possono essere nascosti in innumerevoli modi , uno di questi potrebbe essere di salvarlo in un harddisk esterno / in un sito web di storage (possibilmente non uno che cancelli i files ogni 2 giorni) o in una flashdrive , inoltre possono pure essere cryptati , ci sono innumerevoli metodi di crypting ed è una cosa anche alquanto semplice nonostante ciò è abbastanza difficile fare il processo inverso.. In caso vogliate cryptare un file / archivio salsa20 potrebbe fare al caso vostro , sfrutta chiavi a 256bit e combina tramite XOR tutti i byte


Nonostante ciò quando si cancella un file esso rimane fisicamente come spazio vuoto , chiamato "Unallocated space" , infatti il metodo per cancellare file normalmente serve solo a eliminare il file dalla FAT che comunica con il relativo cluster , eliminare definitivamente un file è assai difficile infatti spesso si utilizza la via più semplice , aggiungere caratteri arrandom e vari numeri per il file così da rendere il file originale praticamente indecrifrabile




  • Tools weakness (falle dei vari tool)

Un altro modo potrebbe essere di "ingannare" i forensic tool e per fare ciò ci sono diversi modi :

1)Cambiare estensione ad un file (da .exe a .png per esempio) facendo ciò si cambiano gli header e i footer fregando i vari tool , nulla toglie che ad un ispezione manuale ciò salti immediatamente all'occhio dell'esaminatore

2)Md5 Collision : In sostanza si modifica un file facendo sembrare l'hash quella del file originale così da far credere ai vari tool durante un matching che il file sia noto

3)Time Stamp : Con questa modifica si possono ingannare i tool che creano una timeline MAC



  • Ultima ma non meno importante

Questa a mio parere è una tecnica veramente sadica , basta disporre di un hard disk che abbia vari terabyte di spazio e utilizzare le tecniche esplicate in precedenza (crypting ecc..) in modo che l'investigatore abbia un incredibile quantità di files da esaminare e ciò porterà via parecchio tempo e risorse all'investigatore che , avendo un incredibile quantità di files da esaminare non si metterà a controllare ogni singolo file facendogli sfuggire determinati dettagli assai importanti...



Guida inutile conclusa , arrivederci :\
Clicca per espandere...

A me non sembra inutile... Anzi sarebbe da ampliare.


Inviata da iPhone tramite app ufficiale di Inforge.net
 
Stato
Discussione chiusa ad ulteriori risposte.

DISCUSSIONI SIMILI

T
Guida Reti Cos'è un attacco DNS cache poisoning o DNS spoofing
  • In evidenza
  • 3
  • 2K
3
2K
Manuali di Hacking e IT-Security
TheWorm91
0
Guida Android Application Penetration Testing - Reversing & Static Analysis
  • 3
  • 2K
3
2K
Pentesting e Ethical Hacking Guide e Tools
0xbro
N
Discussione Gli errori più comuni che facilitano la strada agli hacker (Unix/Windows)
  • Chiuso
  • 3
  • 412
3
412
Sicurezza Informatica
Netcat
G
Discussione Sicurezza informatica e le nuove sfide
  • 12
  • 396
12
396
Sicurezza Informatica
Goclau
0
Guida Android Application Penetration Testing - Concetti e Basi
  • Release
  • 3
  • 3K
3
3K
Pentesting e Ethical Hacking Guide e Tools
0xbro
Top Bottom
Indietro