反電腦鑑證

反電腦鑑證，又稱反鑑證，指的是對鑑證分析的反制。

定義

反鑑證是一門於較後期才得到合法承認的研究領域，其有着各種不同的定義，當中又以普渡大學的馬克·羅傑斯（Marc Rogers）所下的定義最為人接受。羅傑斯的定義如下：「[任何]企圖對犯罪證據的有沒、數量、質素產生不利影響，或使證據難以／無法分析[的行動]」^[1]。《飛客雜誌（英語：Phrack Magazine）》於2002年詳細介紹了反鑑證的技巧，當中定義反鑑證為「移除或藏匿證據，以圖減低鑑證偵查的效力」^[2]。

斯科特·貝里納托（Scott Berinato）在文章《反鑑證的崛起》中給出了一個更為簡略的定義：「反鑑證不僅僅只是一門技術，其還是一門應對黑客犯罪的手段。這點基本可總結為：在讓他們難以找到你之餘，又讓他們不可能證明找對人」^[3]。

子分類

反鑑證方法一般分成幾個大類。馬庫斯·羅傑斯所創立的分類是當中較為人接受的一個，他把反鑑證方法分成四類：數據隱藏（data hiding）、資料抹除（artifact wiping）、蹤跡混淆（trail obfuscation）、攻擊電腦鑑證過程和工具^[1]。直接攻擊鑑證工具的手段可稱為反鑑證^[4]。

宗旨與目標

在數碼鑑證領域當中，反鑑證手段的宗旨與目標有着很大爭議。不少人^[誰？]認為反鑑證工具百害而無一利。而另一些人則認為，應該以這些工具去說明數碼鑑證的不足。在2005年的黑帽安全技術大會上，反鑑證工具的創作者詹姆斯·福斯特（James Foster）和維尼·劉（Vinnie Liu）便表達了這種觀點^[5]。他們表示，透過找出這些問題，鑑證人員將不得不更加努力地證明所收集到的證據是準確可靠的。故此他們相信這能提升鑑證教育和工具的水平。此外反鑑證對於防範間諜活動也有着正面意義，因為他們的手法可能跟鑑證人員類似。

數據隱藏

數據隱藏（英語：Data hiding）是指讓數據難以找到之餘，又維持其可獲得性的過程。「數據模糊化（英語：Obfuscation）和加密讓對抗者可以限制調查人員所辨識和收集到的證據，同時令自身能夠接觸和使用之。」 ^[6]

加密和隱寫術等等建基於軟硬件的技術常用於進行數據隱藏，它們使得鑑證人員難以檢驗數據。若對抗者混合採用各種不同的數據隱藏方法，那麼鑑證調查將難以有效執行。

加密

數據加密是對抗電腦鑑證的常見手段。電腦安全部副部長保羅·亨利（Paul Henry）表示，加密是「鑑證專家的夢魔」^[7]。

加密技術透過運算等方式，使得資訊化為密文，讓獲得密文的第三方，在沒有金鑰的情況下，較難得知資訊的意義^[8]:3-4、27。

隱寫術

隱寫術指的是將資訊或檔案隱藏在另一個檔案之下的技術，這能讓它不被鑑證人員察覺。「隱寫術所產生的黑暗數據，通常埋藏於明面數據之下。（好比如埋藏在數碼相片當中的浮水印）」^[9]。一些專家認為會用到隱寫術的人十分稀少，故不值得花費精力去對付。但大多專家都會同意，若果使用得當，隱寫術本身也能夠破壞鑑證過程^[3]。

傑弗里·卡爾（Jeffrey Carr）稱，2007年版的恐怖主義雙月刊《技術聖戰者》（Technical Mujahid）講述了使用隱寫術程式「聖戰者的秘密」（Secrets of the Mujahideen）的重要性。支持者認為該一款程式能夠透過隱寫術和檔案壓縮，來反制隱寫分析程式^[10]。

其他方法

對抗者亦可透過工具和技術來把數據隱藏於電腦系統的各個位置。比如「記憶體、碎片化空間、隱藏路徑、壞區塊、備用數據流、隱藏分區」^[1]。

Slacker是一款能夠實現數據隱藏的著名工具^[11]。它會把目標檔案分割，然後再把它們插入到其他檔案的碎片化空間，使之不能被鑑證工具檢出^[9]。除此之外，對抗者也可透過把特定的軌道設置為「壞軌」，來使之不被鑑證工具偵測^[9]。

資料抹除

資料抹除是指任何永久清除特定檔案或整個檔案系統的方法^[1]。系統的刪除功能一般只是把被刪除的檔案標記為可以覆寫，並沒有把它從儲存裝置中刪除。故此對抗者會以抹除手段使之從儲存裝置中徹底刪除^[8]:3-28。這點可以透過各種方法來實現，比如硬碟抹除工具、檔案抹除工具、硬碟消磁/破壞^[1]。

硬碟抹除工具

硬碟抹除工具以各種方法來覆寫硬碟中的有效數據。一些專家認為它們不是很有效。因為根據美國國防部的政策，唯一可以接受的硬碟抹除方法就只有消磁。部分程式也因會留下檔案系統已被抹除的痕跡，而受到了批評。硬碟抹除工具的例子有Darik's Boot and NukeDBAN、srm、BCWipe Total WipeOut、KillDisk、PC Inspector、CyberScrubs cyberCide。此外磁性記錄研究中心的安全擦除方案也是較為有效的手段。它已得到美國國家標準技術研究所和國家安全局承認。

檔案抹除工具

檔案抹除工具能把系統內的獨立檔案刪除。與硬碟抹除相比，檔案抹除所花的時間明顯較少，而且只會產生小量的痕跡。其有兩個主要缺點，第一就是它需要用戶發起，第二就是該些程式可能沒有完全刪除檔案的元資訊^[12][13]。檔案抹除工具的例子有BCWipe、R-Wipe & Clean、Eraser、Aevita Wipe & Delete、CyberScrubs PrivacySuite。像shred和srm般的GNU/Linux工具亦能抹除單個檔案^[14][15]。固態硬碟相對較難抹除，因為韌體會把數據寫入其他單元，使其最終能夠恢復。在這種情況下，則可用到像hdparm的工具，籍其運行ATA Secure Erase指令來抹除檔案^[16]。

硬碟消磁/破壞

硬碟消磁指的是往數碼媒體裝置施加磁場的過程。這能使得此前儲存於裝置內的全部數據皆被清除。由於消磁機需花費當事人一定費用才能得到，故這種反鑑證方法相對較少應用。

與上述方法相比，較多人會選擇去破壞硬碟本身。國家標準技術研究所表示：「可用到各種方法來進行實體破壞，包括拆解、焚毀、弄碎、撕碎、熔掉」^[17]。

蹤跡混淆

蹤跡混淆的目的在於矇騙和迷惑鑑證人員/工具，或轉移其焦點。能夠達至蹤跡混淆效果的工具和技巧有「記錄消除器、欺騙、錯誤資訊、骨幹跳躍、殭屍帳號、木馬指令」^[1]。

Timestomp為一款著名的蹤跡混淆工具^[11]，它能夠修改跟存取、建立、修改時間有關的檔案元數據^[3]。

Transmogrify是另一款較常應用的蹤跡混淆軟件^[11]。大多檔案的表頭包含了識別資訊，比方說.jpg即表示檔案為jpg檔，.doc則表示檔案為doc檔。Transmogrify使得用戶能夠修改檔案的表頭資訊，比如可由.jpg表頭修改成.doc表頭，令鎖定圖像格式的鑑證工具不把它視為圖像，繼而跳過之^[3]。

攻擊電腦鑑證過程和工具

過去的反鑑證工具大多側重於破壞數據、隱藏數據、改變數據元資訊這幾個範疇。不過後來的反鑑證工具和技術重點則轉移到攻擊鑑證工具本身。有好幾個因素導致這種趨勢的出現：鑑證程序開始為人熟知、廣為人知的鑑證工具漏洞、電腦鑑證人員對工具的依賴^[1]。

鑑證人員在典型的取証過程中會建立映像副本，以避免鑑證工具影響原電腦（證據）本身。為了確定映像的完整性，鑑證檢驗軟件一般會產生密碼雜湊函數。於是程式設計者便製作了使證據本身受到質疑的反鑑證工具，它們會修改映像的密碼雜湊函數^[1]。

物理

以下方法可阻止他人實體性地接觸數據：

• 像USBGuard和USBKill般的軟件會採用USB認證策略。一旦連接的USB裝置不符合條件，它便會開始執行特定操作^[18]。在絲路的管理員羅斯·烏布利希被捕後，開發者們便針對他的被捕情況，開發出一些反鑑證工具。它們能夠檢測電腦是否被奪走。若是，便會自動關機。因此若電腦經過全盤加密，鑑證人員便難以取得儲存於內的數據^[19][20]。
• 不少裝置皆設有肯辛頓鎖孔，可以以其阻止他人搶走裝置。
• 也可利用電腦機箱的入侵探測功能或感測器（比如光感測器）來進行反鑑證——使之一旦符合特定的物理條件，便會點燃預先裝上的炸藥，炸毀整台電腦。在部分司法區域，此一方法為法律不容，因為它可能傷害未經授權的用戶，並破壞了證據本身^[21]。
• 可拆下手提電腦的電池，使之只能在連接到電源時運作。一旦切斷電源，其便會關機，造成數據丟失。

鑑證人員可能會實施冷啟動攻擊，以檢索關機後在隨機存取記憶體中保留幾秒鐘到幾分鐘的可讀內容^[22][23][24]。對隨機存取記憶體進行低溫凍結可進一步使保留時間延長^[25]。在關機前覆寫記憶體可以對抗這種鑑證手段；一些反鑑證工具甚至會檢測RAM的溫度，當溫度低於某個閾值時，就會關掉電腦^[26][27]。

開發者已嘗試製造出能夠防止他人篡改的桌上電腦。不過安全研究員兼Qubes OS開發者喬安娜·魯特克絲卡則對這種方法表示質疑^[28]。

參見

• 密碼雜湊函數
• 退磁
• 加密
• 合理推諉

參考資料

1. Rogers, D. M. Anti-Forensic Presentation given to Lockheed Martin. 2005. 
2. (2002). The Grugq. Defeating Forensic Analysis on Unix.. Phrack Magazine. 2002 [2019-09-06]. （原始內容存檔於2019-09-11）. 
3. Berinato, S. The Rise of Anti Forensics. CSO Online. 2007 [2008-04-19]. （原始內容存檔於2008-06-23）. 
4. Hartley, W. Matthew. Current and Future Threats to Digital Forensics (PDF). 2007 [2010-06-02]. （原始內容 (PDF)存檔於2011-07-22）. 
5. Black Hat USA 2005 – Catch Me If You Can – 27July2005. Foster, J. C., & Liu, V. (2005). [2016-01-11]. （原始內容存檔於2016-01-19）. 
6. Peron,, C.S.J. Digital anti-forensics: Emerging trends in data transformation techniques. (PDF). [2020-09-05]. （原始內容 (PDF)存檔於2008-08-19）. 
7. Henry, P. A. Secure Computing with Anti-Forensic. 2006 [2020-09-05]. （原始內容存檔於2016-05-26）. 
8. 王旭正; 林祝興; 左瑞麟. 科技犯罪安全之數位鑑識-證據力與行動智慧應用, EU31309. 博碩文化股份有限公司. 2013. ISBN 9789862017609. 
9. Berghel, H. Hiding Data, Forensics, and Anti-Forensics. Communications of the ACM. 2007, 50 (4): 15-20. 
10. Carr, J. Anti-Forensic Methods Used by Jihadist Web Sites. 2007 [2008-04-21]. （原始內容存檔於2012-07-30）. 
11. Metasploit Anti-Forensics Project (MAFIA) - Bishop Fox. Vincent Liu. [2016-01-11]. （原始內容存檔於2016-01-19）. 
12. Oliver Powell. Myths about Disk Wiping and Solid State Drives. steller. 2020-03-26 [2020-09-05]. （原始內容存檔於2016-03-19）. 
13. WHAT IS DATA DESTRUCTION, THE BEST WAYS TO ERASE YOUR DATA SECURELY. Allgreen. [2020-09-05]. （原始內容存檔於2022-03-30）. 
14. shred(1) - Linux man page. die.net. [2020-09-05]. （原始內容存檔於2020-05-10）. 
15. Ubuntu Manpage: srm - secure remove (secure_deletion toolkit). Ubuntu manuals. [2020-09-05]. （原始內容存檔於2017-08-29）. 
16. Secure Erase and wipe your SSD, will it work?. Dr Bob Tech Blog. 2017-03-22 [2020-09-05]. （原始內容存檔於2017-10-23）. 
17. Kissel, R.; Scholl, M.; Skolochenko, S.; Li, X. Guidelines for Media Sanitization. Gaithersburg: Computer Security Division. National Institute of Standards and Technology. 2006. 
18. usbguard. github. [2020-09-05]. （原始內容存檔於2020-08-26）. 
19. usbkill. github. [2020-09-05]. （原始內容存檔於2020-09-09）. 
20. silk-guardian. github. [2020-09-05]. （原始內容存檔於2020-08-10）. 
21. Destruction of Evidence Law and Legal Definition. uslegal. [2020-09-05]. （原始內容存檔於2017-07-06）. 
22. Halderman, J.A; et al. Lest We Remember: Cold Boot Attacks on Encryption Keys (PDF). 17th USENIX Security Symposium. [2020-09-05]. （原始內容存檔 (PDF)於2020-07-18）. 
23. Carbone, R.; Bean, C.; Salois, M. An in-depth analysis of the cold boot attack Can it be used for sound forensic memory acquisition? (PDF). Defence R&D Canada – Valcartier. 2011 [2020-09-05]. （原始內容 (PDF)存檔於2020-07-22）. 
24. Yitbarek, Salessawi Ferede; Aga, Misiker Tadesse; Das, Reetuparna; Austin, Todd. Cold Boot Attacks are Still Hot:Security Analysis of Memory Scramblers in Modern Processors (PDF). 2017 IEEE International Symposium on High Performance Computer Architecture. 2017: 313–324 [2020-09-05]. doi:10.1109/HPCA.2017.10. （原始內容 (PDF)存檔於2020-09-18）. 
25. Mike Szczys. FREEZING ANDROID TO CRACK THE ENCRYPTION. hackaday. 2013-02-20 [2020-09-05]. （原始內容存檔於2017-11-05）. 
26. Protect Linux from cold boot attacks with TRESOR. Linuxaria. 2012-04-05 [2020-09-05]. （原始內容存檔於2016-08-26）. 
27. Protection against cold boot attacks. Tails. [2020-09-05]. （原始內容存檔於2020-06-14）. 
28. Thoughts on the "physically secure" ORWL computer. 2016-09-03 [2020-09-05]. （原始內容存檔於2019-10-08）. 

外部連結

• Evaluating Commercial Counter-Forensic Tools
• Counter-Forensic Tools: Analysis and Data Recovery（頁面存檔備份，存於互聯網檔案館）
• http://www.informatik.uni-trier.de/~ley/db/conf/dfrws/dfrws2005.html（頁面存檔備份，存於互聯網檔案館）
• http://www.dfrws.org/2006/proceedings/6-Harris.pdf（頁面存檔備份，存於互聯網檔案館）
• Anti-Forensics Class（頁面存檔備份，存於互聯網檔案館） Little over 3hr of video on the subject of anti-forensic techniques