客体重用和数据残留
1.客体重用定义:包含一个或多个个体的存储介质(例如,页面,磁盘扇区,磁带)的主体重新分配,通过标准系统机制,为主体重新分配时不应含有任何的残留数据(被重新分配时不能留有东西)
2.残留数据又称残留信息:是指数据在被某种形式擦除后所残留的物理表现,存储介质被移除后可能留有一些物理特性使数据能被重构
存储的清除方案
(1)简单的文件删除
内容还在只是索引被删除了。文件还是在磁盘上面。
文件数据恢复原理:在磁盘的空间中找到他具体存在的位置
各种文件数据恢复工具
(2)文件粉碎工具
粉碎方法:采用填0,填0xff或填随机数的办法重写文件数据区
不足:
仅仅针对未删除的文件
使用时产生的临时文件泄密
(3)数据擦除软件
擦除软件:Eraser WYWZ Clean Disk
数据擦除软件能够:
擦除磁盘剩余空间
擦除文件访问痕迹
不足:
无法擦除文件”松散空间“
(4)磁盘格式化
格式化分类
快速格式化,普通格式化,低级格式化
格式化过程
对扇区进行组织和标记
深度检测可覆盖的每个扇区
(5)扇区完整填充
以磁性存储介质为例子 美国国防部方法:复写7次,彼得,加特曼方法:复写35次
如何真正清除存储介质中的信息
1.联合存储截止一起消灭
2.强磁场消磁
3.高温焚烧
优盘摆渡攻击过程和防范办法
摆渡攻击
在网络物理隔离条件下,木马借助优盘从外网摆渡进内网
1.木马感染外网计算机
2.木马感染违规使用者的u盘
3.木马通过移动存储介质摆渡到内网
4.木马窃取资料隐藏到隐藏介质中
5.u盘回到外网计算机再把资料传出去
第一次:优盘将木马摆渡到内网
第二次:优盘将资料从内网摆渡到外网
如何防范摆渡攻击
拆掉光驱,软驱
封堵usb接口
切断外网连接
杜绝存储介质在内网外混用
仅仅只切断一次摆渡,可以用切断向外摆渡:采用光盘刻录
将优盘设置为只读,技术可行但是依赖人的自觉性
通过软件控制:在内网机安装控制软件,切断优盘的写操作,但放行读操作
BadUSB攻击
BadUSB攻击原理
USB枚举过程:USB设备插入计算机系统后,需要经过枚举过程才能与计算机进行通信,枚举过程就是向主机申请端口地址,发送设备描述符的过程,在这个过程中USB设备的信息是由自己提供的,具有可变性。
USB设备漏洞的原理
(1)由于USB设备枚举过程中,USB信息具有可变性,即存在USB设备具有多个输入输出的特征,并可以注销再次描述为其他的设备 eg 就是比如把自己描述为键盘鼠标等外设,让系统以为是主机在进行操作
(2)在枚举过程中,有数据通信交换的过程,在USB协议中没有校验过程,这会导致黑客可以随意添加恶意数据来攻击计算机系统
BadUSB的攻击类型
(1)模拟键盘方法
利用社会工程学的方式将键盘模拟方式的BadUSB设备接入计算机,此时计算机系统将会把BadUSB识别成一个键盘,从而执行从BadUSB输入的恶意指令,并免疫病毒查杀,从而在计算机系统内开启后门提升权限
(2)USB设备篡改Windows系统的DNS设置:
将USB设备伪装成交换机,包含DNS服务器的地址,但没有默认网关,会使得网络流量仍然能通过正常的WiFi连接,但是所有的DNS查询都会发送到USB制定的服务器,导致定向攻击(ps,也就是当你在网页输入一个ip的时候,会进行DNS解析,伪装成的交换机会把你的ip解析成另一个攻击者想要你访问的地址,从而造成攻击)
BadUSB的防范措施
1.停止使用命令提示符
BadUSB入侵都是在命令脚本上运行恶意脚本,停用就可以从根源上阻断BadbUSB对恶意脚本的调用,从而在根源上防范
2.命令行记录工具
Win10下命令行工具PowerShell自带记录命令行命令功能,命令行记录功能虽然不能起到防范作用,但是可以做到最大程度的挽回损失。
3.USB白名单:
USB通常没有唯一的序列号,但是可以使用市场上的设备防护软件如Endpoint Protectors, USB Block等对USB设备进行授权设置成白名单并且进行防护
4.磁盘加密
可以防止计算机系统上的数据泄露,也可以组织BadUSB的入侵
5.禁止USB固件的更新
BadUSB是利用USB固件更新的漏洞机制,禁止对USB设备的更新以及使用时检查USB设备的固件可以有效对BadUSB进行防护
6.安装安全防护软件
安装防护软件,如防火墙,360安全卫士,等等,可以有效限制计算机软件对DNS的篡改等等