THE USB TRAIL: ANTI-FORENSICS AND ANTI-ANTI-FORENSICS BITTER ROMANCE翻译

最新推荐文章于 2023-07-18 18:18:59 发布
VIP文章 最新推荐文章于 2023-07-18 18:18:59 发布
阅读量1.8k 收藏 1
点赞数 3
分类专栏: 随笔 文章标签: 信息安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HizT_1999/article/details/106966722
版权

THE USB TRAIL: ANTI-FORENSICS AND ANTI-ANTI-FORENSICS BITTER ROMANCE

By Chidi Obumneme

USB大容量存储设备由于其外形轻巧、具有能作为攻击任何团体或组织的工具的能力而越发流行。因此,以色列的Ben-Gurion大学的研究员们发现了29种可用来攻击和危害计算机hi系统的USB设备。同样地,the Insider Threat(内部威胁)是对团体和组织的极大安全隐患,这在很大程度上是因为它们有特权访问顶级敏感或专有信息。这些内部威胁可以利用自己的位置,并决定泄露公司商业机密和敏感信息,以将其出售给竞争组织。
通过USB大容量存储设备泄露专有数据证明了进行这种形式的攻击的方式。 由于每个攻击者的目标是隐藏所有形式的不当行为,因此,证明这种攻击已生效是数字取证分析的责任。本文也以此为关键,尽管攻击者试图使用反取证技术清除自己的攻击痕迹,数字取证者们也将证明使用USB设备证明了攻击的行为。

INTRODUCTION

在某些组织中,严格禁止插入USB大容量存储设备,这是由于从攻击的角度来看,USB可以用于将泄露的数据传输到公司系统,也可以窃取公司数据。尽管采取了此类“无USB”政策,心怀不满的员工使用此类设备的现象仍然很常见,这也带来了威胁。 因此,揭露内部威胁的活动(关于USB大容量存储设备的使用)是必要的,正如本文所述。
这篇文章强调了USB取证的重要性,同时强调了USB使用的事实。系统上的设备会留下足迹,普通用户通常不会注意到这些足迹。 对于精通技术的攻击者来说,需要采用反取证方法来擦除USB痕迹在系统上的使用来掩盖痕迹,其最终目的是挫败法证(取证)分析师。

CASE STUDY

我们提出了数据盗窃的典型情况。ABC公司的XYZ先生被解雇了,基于公司怀疑他有几次偷窃公司商业机密并将其出售给竞争对手的行为。确定他一直在偷窃专有权文件是有必要的。公司提出怀疑是因为他总是通过USB窃取数据,尽管有ABC公司的“禁止使用USB”政策,但存储设备仍然存在。
在本文中,作者将在新安装的Windows 8计算机上模拟数据渗漏过程,取证,反取证和反-反取证技术。查看注册表编辑器(regedit.exe),在下图中,我们可以清楚地看到USB Mass尚未使用存储设备。缺少USBSTOR密钥可以清

最低0.47元/天 解锁文章
HizT_1999
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
USB Oblivion:从Windows注册表中清除(损坏的)USB驱动器的所有痕迹-开源
05-08
此实用程序旨在从Windows XP,Windows 2003,Windows Vista,Windows 7,Windows 8,Windows 10(32 / 64-位版本)。 该实用程序具有测试的操作模式,即无需实际从注册表中删除数据,并且以防万一,可以创建一个.reg文件来撤消任何更改。 还有一个全自动模式。
USB痕迹取证(windows)
01-11
USB痕迹取证(windows),收集电脑USB插拔痕迹,内容信息全面!手工取证分析必备!
beyond 注册表删除
l15031138244的博客
04-17 5109
1.win+r 输入regedit 打开注册表 2.删除计算机 \HKEY_CURRENT_USER\Software\Scooter Software\Beyond Compare 4\CacheId 3.找到beyondCompare的安装路径,删除BCUnrar.dll。默认安装的路径一般是C:\ProgramFiles\BeyondCompare4\BCUnrar.dl......
securityoverridehacking challenge 解题思路汇总——Forensics
逆水行舟
09-05 1162
上一部分我们完成了加解密方面的任务(securityoverridehackingchallenge 解题思路汇总——Decryption)。下一个部分应当是权限提升的,不过在这个过程中遇到了一些问题。发帖问了之后也说这部分有bug,因此一直没能成功,所以就暂时跳过了。那么今天的主题就是取证(Forensics)了。所谓取证,就是通过监听、中间人、第三方信息(whois)甚至是网页等本身,来收集
u盘使用记录、痕迹删除技巧方法
bruce135lee的专栏
11-08 3万+
在日常生活的使用U盘过程当中,系统会记录下大量U盘的使用记录信息,那么接下来小编就来同大家分享介绍如何删除掉这些使用记录的方法知识。   1. 往系统里面添加环境变量devmgr_shownonpresent_devices,值为12. 运行设备管理器,打开查看隐藏设备。展开磁盘驱动器、储存卷两处,把和U盘有关的Kill掉。3. 打开计算机管理,把可移动存储相关的删除。4. 把
用简单命令查看Windows上USB盘使用记录
nullpointer2008的专栏
10-27 3万+
已经有很多文章描述如何查找注册表里边的USB盘使用记录,但用regedit 查找有所不便,下载相关程序又担心中病毒。本人写了一个简单的命令来做这个查询: 只需要打开命令行窗口(Win + R,输入 cmd.exe 回车),将以下命令粘贴进去,回车,即可看到U盘历史纪录。 for /f %i in ('reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentC
forensics-靶机
薛定谔嘚喵博客
04-14 423
1.信息收集发现80和22端口80中源码包含敏感目录,查看敏感目录发现图片,在kali中使用exiftool查看图片属性拿到flagdirb扫描txt后缀目录,发现敏感目录,里面后一个zip包和一个PGP的私钥+密文,在线PGP解密后,解压缩zip包发现flag以及DMP文件2.shell权限使用mimikatz打开DMP文件,发现用户+密码,解密密码后,ssh登录。
USB存储设备的5种打开方式以及其关系
飞鹤的程序员人生
11-27 5064
1. USB存储设备的标识 USB存储设备插入电脑之后,系统会给设备分配物理驱动器号、设备路径、卷路径。 1.1. 物理驱动器号 String Meaning \\.\PhysicalDrive0 Opens the first physical drive. \\.\PhysicalDrive1 Opens the third physical drive. 1.2. 设...
Windows系统U盘的检测
syscall的专栏
03-31 2555
一、注册表中与U盘相关的键 1.\\HKEY_LOCAL_MACHINESYSTEM\\CurrentControlSet\\Services\\USBSTOR\\Enum,该键中有本机连接的所有U盘的设备路径,Count为U盘的数量,数字键对应的值为U盘的设备路径,形如:USB\VID_1E3D&PID_2096\CCBB123456EE012B; 2.\\HKEY_LOCA...
windows删除注册表(通用方法)
yuanyuan214365的博客
04-22 3万+
1、注册表       注册表(Registry,繁体中文版Windows操作系统称之为登录档)是Microsoft Windows中的一个重要的数据库,用于存储系统和应用程序的设置信息。早在Windows 3.0推出OLE技术的时候,注册表就已经出现。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是,从Microsoft Windows 95操作系
论文研究-Anti-Forensics of Video Frame Deletion.pdf
08-15
一种视频删帧反取证技术,刘景贤,康显桂,由于数字编辑软件技术的发展,数字视频的篡改变得越来越简单。近年来,为了确认视频的可靠性与完整性,许多数字取证技术被提出。与此
code-forensics:代码分析和报告可视化的工具集
05-06
代码取证 代码取证是分析存储在版本控制系统中的代码库的工具集。 它利用存储库日志或版本历史记录数据对复杂性,逻辑耦合,作者耦合进行深入分析,并检查软件系统不同部分的时间变化(如代码流失和修订数量) 。...
awesome-forensics:精选的法医分析工具和资源清单
04-30
真棒取证 精选的免费(主要是开源)取证分析工具和资源列表。 OS X取证 ...bitscout-用于远程取证和分析的LiveCD / LiveUSB Remnux-用于反向工程和分析恶意软件的发行版 SANS调查取证工具包(sift) -用
code-forensics-docker:用于smontanaricode-forensics的Docker映像
05-15
sh run.sh手动运行docker run --rm -it -v " $( pwd ) :/var/www/repo " -p 3000:3000 code-forensics ${TASK}配置如果存储库中没有要分析的配置文件,则使用该文件。 有关可能的配置选项的更多信息,请参见。
win7,win10下删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\报错
babytiger的专栏
07-18 981
在调试虚拟网卡驱动时,由于修改错误,导致枚举顺序错乱,因此通过删除HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\WINTUN下的所有项,即可,win10可用。但是,这个顺序和数目不是一成不变的,改变就发生在使用过“最近一次的正确配置”之后。“Default”数据项目表示 Windows 在下次启动时将使用的控件组,它与这次启动使用的控件组相同。“Default”数据项目表示 Windows 在下次启动时将使用的控件组,它与这次启动使用的控件组相同。
Python 获取注册表、U盘历史痕迹和回收站文件
huang714的专栏
09-17 1711
一.获取Windows主机信息 WMI(Windows Management Instrumentation) 是一项核心的Windows管理技术,WMI模块可用于获取Windows内部信息。WMI作为一种规范和基础结构,通过它可以访问、配置、管理和监视几乎所有的Windows资源,比如用户可以在远程计算机器上启动一个进程;设定一个在特定日期和时间运行的进程;远程启动计算机;获得本地或远程计算机的已安装程序列表;查询本地或远程计算机的Windows事件日志等等。 本文使用Python获取Windows系
usb插拔痕迹深度清除_删除U盘使用痕迹的三大方法
热门推荐
weixin_39583521的博客
12-11 4万+
  U盘在电脑上使用后,就会在系统中留下使用的痕迹,很多人都可以通过这个痕迹来恢复数据。如果不想让别人知道自己U盘中的密码,就要删除U盘的使用痕迹。那么,如何删除U盘的使用痕迹呢?下面U大侠就给大家分享删除U盘使用痕迹的三大方法吧!  方案一:手动删除注册表信息。  ㈠、先在系统里添加环境变量“devmgr_shownonpresent_devices”值为“1”  ㈡、打开设备管理器,...
x-ways forensics: 综合取证分析工具
最新发布
10-19
x-ways forensics是一款综合取证分析工具,用于数字取证和计算机取证。该工具提供了一系列功能,用于收集、分析和呈现证据,以帮助调查人员在犯罪调查、公司安全审计等领域进行数字取证工作。 x-ways forensics具有...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值