目录
一、简介
1.1、历史:
很久以来都有传闻: 基地组织是用数据隐藏技术秘密地交换恐怖袭击相关文档的。近10年来, 已发现了不少基地组织的手册, 其中都包含使用隐写程序和技术进行隐蔽通信的内容。2011年5 月16 日, 德国柏林警方审讯了一个叫Maqsood Lodin 的澳大利亚人。他在内裤中藏了一台数字存储设备和多张内存卡, 内存卡中有很多文件, 还有一段视频。德国调查人员经全面分析, 发现视频中用隐写技术嵌入了100 多个文件, 且都是有密码保护的。破译密码后, 他们发现这些文件中有恐怖分子的培训手册还有将要实施的恐怖袭击计划:夺取巡航舰和袭击欧洲
1.2、现状:
如今是数字时代, 数据隐藏技术已脱胎换骨, 朝着一个共同的隐蔽数字通信目标努力,即逃避检测。为了逃避检测, 需要了解反取证技术以确保比较脆弱的数据隐藏技术也能逃过检查。反取证知识还是数据隐藏技术改进的基础, 使用改进的数据隐藏技术, 我们可以在关键时刻更有信心地传递隐藏信息。
二、反取证(隐藏痕迹)
2.1、删除载体、原文件
隐藏数据时,用户最容易疏忽的一点就是:除了已嵌入消息的载体文件的痕迹外, 还会留下原始的载体文件。 有很多技术都可以识别出两个看似完全相同的文件之间的差异。因此, 强烈建议数据嵌入操作完成后将原始载体文件删除。如果原始文件还没有嵌入载荷, 那么请删除原始载体文件。
2.2、删除隐写程序
还要在进行数据隐藏操作的计算机上清除数据隐藏程序的痕迹。如果在一台可疑计算机上发现了隐写程序, 那么这台计算机中也很可能存在载体文件。如果找到了载体文件, 那么调查人员要发现隐藏消息需要做的唯一事情就是:破解数据隐藏程序嵌入数据时使用的密码。如果这个密码与计算机中其他程序使用了相同的密码, 比如登录密码, 那么调查人员离破译加密的隐藏数据就不远了。
2.3、彻底清理文件
用完数据隐藏程序后将其删除, 却忘了清理垃圾箱和松散空间(即磁盘中未使用的区域,其中常包含可以删除或用作证据的文件内容或碎片)。
2.4、选择载体文件
如果要在数字照片中隐藏文件, 最好选择定制的数码照片而不是普通照片作为载体,例如, 不要选择从Google Images中下载的图像。如果用这种普通的照片作为载体, 调查人员不需要在可疑计算机中找, 也能从其他地方获取到原始载体文件, 这样就能对比原始载体文件和可疑文件, 识别差异, 然后分析得到可疑文件嵌入的隐藏内容。例如, 代理商和供应商们维护了一个散列数据库, 已知原始图像的散列值, 计算可疑图像的散列值后再与已知的散列值对比, 如果散列值不同就可以断定该图像是有问题的。
2.5、相关联痕迹
将数据隐藏程序和载体文件存储在移动存储介质中是清除数据隐藏痕迹的第一步, 但前提是进行数据隐藏操作设备的其他部分(不包括执行操作的人) 不会被取证调查。
三、数据隐藏密码
3.1、简介:
除了载体和数据隐藏程序外, 密码也是数据隐藏的要点之一。在载体文件中嵌入消息时一定要使用强密码加密。
(1)不要使用操作系统的密码、在网页浏览器中存储的密码或网络设备使用的密码。
(2)密码应包含大小写字母、数字和特殊字符的组合。
(3)如果要把密码保存在某个地方, 最好使用Bruce Schneier的PasswordSafe
3.2、隐藏字符
很多数据隐藏程序在嵌入数据时都会让用户输入自定义的密码, 此时最好使用强密码。
使用键盘中的隐藏字符制造强密码。大多数密码字典和暴力破解机制都不包含这些字符, 使用这些隐藏字符组成的强密码来加密, 也是一个可以让坚定的黑客们苦恼不已的绝好方法。eg:
输入特殊字符°
……
3.3、加大长度
在密码中使用一个或多个特殊字符可以成功击败很多类型的密码暴力破解程序。这不仅是数据隐藏密码保护的最佳实践, 也是一个通用的计算机安全防护技巧。此外, 增加密码长度也可以使密码破解难度呈指数级增长。通过应用上述方法可以有效阻止调查人员破解密码, 从而获得隐藏数据。
四、隐藏痕迹
4.1、简介:
在Windows 中, 可以用cleanmgr 工具来清理系统, 使其不会残留数据隐藏软件的任何痕迹。这不算什么高招, 但却是一个可以快速清理隐藏痕迹的方法。
4.2、cleanmgr
(windows自带的)
下载地址:
使用:
在命令行中,执行如下命令:
C:\cleanmgr
执行完命令后, 系统提示用户选择要清理的磁盘, 选择后, clearungr 将清理其中如下内容:
临时网络文件、临时安装文件、临时离线文件、已下载的程序文件、回收站中的文件、Windows 临时文件、未使用的可选Windows 组件、旧的chkdsk (硬盘检查)文件、内容索引的目录文件
4.3、清理最近程序
简介:
Windows 还会跟踪系统运行的每个程序, 并把使用最频繁的程序放到开始菜单中。
通过设置可以清除“最近运行的程序” (last run program) 留下的痕迹。
清除Windows 7 开始菜单程序
步骤:
(1)右键单击Start, 选择Properties, 然后在Privacy区域取消勾选“ Store and display recently opened programs in the Start menu" 和"Store and display recently opened items in the Start menu and taskbar" 这两个复选框
取消选择隐私中的复选框, 不再显示最近打开过的项目
(2)还可以单击“ Customize" 按钮, 将“ Number of recent programs to display"和“ Number of recent items to display in Jump lists" 设置为0
更新自定义开始菜单
win11
设置为关闭显示最常用的