Ανάλυση ενος εργαλείου antiforensic 2015

Από Βικιβιβλία
Πήδηση στην πλοήγηση Πήδηση στην αναζήτηση

Περιεχόμενα

Slacker(Βασδέκης, Μήτσιου)[επεξεργασία]

Με την πάροδο των χρόνων έχουν αναπτυχθεί εργαλεία(Forensic Tools) τα οποία επιτρέπουν να εξεταστούν και να εντοπιστούν ίχνη παράνομων πράξεων σε ηλεκτρονικούς υπολογιστές. Από την άλλη πλευρά αντίστοιχα, εργαλεία(Anti-Forensic tools) [1] μπορούν να χρησιμοποιηθούν από τους ίδιους τους δράστες με σκοπό την κάλυψη των ιχνών τους. Ένα παράδειγμα τέτοιου εργαλείου είναι το Slacker το οποίο δημιουργήθηκε από το Metasploit Project και ανήκει στην MAFIA (Metasploit Anti-Forensics Investigation Arsenal).[2] Στην ίδια οικογένεια προγραμμάτων ανήκουν και το Timestomp, το Sam Juice αλλά και πολλά ακόμη.

Βασική λειτουργία του Slacker είναι να κρύβει ένα αρχείο αλλά με έναν πολύ ιδιαίτερο τρόπο δηλαδή ο χρήστης έχει την δυνατότητα να κρύψει τα δεδομένα ενός αρχείου σε κενά μνήμης(slack spaces) του σκληρού δίσκου και αποτελεί το πρώτο εργαλείου του είδους. Πιο συγκεκριμένα[3] όταν ο υπολογιστής αποθηκεύει ένα αρχείο, δεσμεύει χώρο σε ένα κομμάτι του οποίου το μέγεθος είναι προκαθορισμένο. Παρόλα αυτά ο χώρος που δεσμεύεται από ένα αρχείο σπάνια καλύπτεται ολόκληρος. Για παράδειγμα όταν ένα αρχείο μεγέθους 1 ΚΒ αποθηκεύεται στον σκληρό μας δίσκο δεσμεύεται χώρος 4 ΚΒ , πράγμα που σημαίνει ότι τα υπόλοιπα 3 παραμένουν αχρησιμοποίητα. Ο χώρος που απομένει ονομάζεται κενός χώρος(slack space) και μπορεί να χρησιμοποιηθεί για να αποθηκεύσουν άλλα δεδομένα.

Το Slacker[4] επιτρέπει στον χρήστη να διαιρεί σε κομμάτια το αρχείο που επιθυμεί να κρύψει και κάθε ένα από αυτά να τα αποθηκεύει στους εκάστοτε κενούς χώρους που υπάρχουν στον σκληρό δίσκο. Για τη χρήση του εκτός από την διαδρομή των αρχείων που θέλουν να κρύψουμε τα δεδομένα, χρειάζεται ένα αρχείο στο οποίο κρατούνται οι πληροφορίες αποθήκευσης των δεδομένων του αρχείου (metadata), και έναν κωδικό για την κρυπτογράφηση του παραπάνω αρχείου.

BatchPurifier (Μαργαρίτη Αθηνά-Μιλιλή Ειρήνη)[επεξεργασία]

Το BatchPurifier είναι ένα εργαλείο, με το οποίο μπορούμε να καταργήσουμε κρυφά δεδομένα από πολλά αρχεία. Έχει τη δυνατότητα να αφαιρέσει πάνω από 50 είδη κρυφά δεδομένα από 20 τύπους αρχείων. Εκτός από τους 20 τύπους αρχείων μπορεί να καταργήσει αρχεία του Microsoft Office (Word, Excel, Powerpoint), έγγραφα του OpenOffice.org, έγγραφα pdf και διάφορα είδη αρχείων ήχου και εικόνας όπως MP3,MP4,JPEG και πολλά άλλα. Επίσης, με αυτό το εργαλείο μπορούμε να καταργήσουμε κρυφά δεδομένα τα οποία είναι συμπιεσμένα. Είναι γρήγορο και μπορούμε να καταργήσουμε κρυφά δεδομένα από εκατοντάδες αρχεία μέσα σε λίγα δευτερόλεπτα. Μπορούμε να το ρυθμίσουμε ώστε από τη γραμμή εντολών κάνοντας κάποιες ενέργειες να μας αφαιρεί αυτόματα τα δεδομένα. Είναι κατανοητό και απλό για να το διαχειρίζεται ο χρήστης. Υποστηρίζεται από όλα τα συστήματα Windows και έχει ως απαιτούμενο υλικό 40Mb ελεύθερο χώρο στο δίσκο. Υπάρχει επίσης και το BatchPurifier Lite το οποίο διαγράφει κρυφά δεδομένα όπως πχ σχόλια από εικόνες με Photoshop διατηρώντας την ποιότητα της εικόνας ίδια. Αυτά τα δεδομένα μπορεί να περιέχουν πληροφορίες για το τι ώρα τραβήχτηκε η εικόνα, την ημερομηνία και εάν τραβήχτηκε από κινητό ή μηχανή. Υπάρχει συχνά μια μικρογραφία της εικόνας στο αρχείο JPEG, όπου μπορεί να μην ενημερωθεί αφού τροποποιήσουμε την εικόνα και μπορεί να βρεθεί σε κίνδυνο το απόρρητό μας, όμως με το Batchpurifier Lite είμαστε ασφαλής γιατί καθαρίζει τα αρχεία JPEG ακόμη και αν είναι συμπιεσμένα. Αυτό έχει ως αποτέλεσμα να μοιραζόμαστε τις φωτογραφίες μας με σιγουριά. Υπάρχουν όμως και δύο μειονεκτήματα. Αρχικά, δεν μας αφήνει να επιλέξουμε εμείς ποιες πληροφορίες θέλουμε να σβήσει από την εικόνα. Δηλαδή, τις σβήνει όλες. Δεύτερον, λειτουργεί μόνο για εικόνες τύπου JPG, δεδομένου ότι όλες σχεδόν οι φωτογραφικές μηχανές αποθηκεύουν τις φωτογραφίες σε μορφή JPG, οπότε δεν υπάρχει πρόβλημα.

OVERWRITE (Τσάπο Αντονέλα-Νίκου Κωνσταντίνος)[επεξεργασία]

Overwrite ή αλλιώς Αντικατάσταση αποτελεί ένα εργαλείο παρεμπόδισης της εγκληματολογικής έρευνας ενός υπολογιστή και μάλιστα ενός από τα πιο ισχυρά (antiforensics tool). Δημιουργήθηκε στις 31 Μαρτίου του 2003 και αποτελεί ένα βοηθητικό πρόγραμμα UNIX.

Βασικός στόχος είναι η δυσκολότερη ανάκτηση δεδομένων από έναν υπολογιστή που υπόκειται σε εγκληματολογική έρευνα. Η λειτουργία του βασίζεται στην αφαίρεση κομματιών πληροφορίας ενός δεδομένου και την εγγραφή νέων τυχαίων πληροφοριών πάνω σε αυτά τα κομμάτια και έχει ως αποτέλεσμα την αλλοίωση της πληροφορίας. Πλέον υπάρχει δυνατότητα να διαγραφεί και ολόκληρη η πληροφορία και να γίνει αντικατάσταση της με μια νέα. Αυτό επιτυγχάνεται με διάφορους αλγορίθμους και αυτά τα τυχαία μοτίβα εγγραφής νέων πληροφοριών αναφέρονται και στην μέθοδο Gutmann.

Η μέθοδος Gutmann είναι ουσιαστικά ένας αλγόριθμος διαγραφής διάφορων στοιχείων από την μνήμη ενός ηλεκτρονικού υπολογιστή. Η ανακάλυψη αυτής της μεθόδου έγινε από τον Peter Gutmann και τον Colin Plumb. Επίσης έχει γραφτεί και ένα βιβλίο με τίτλο “Secure Deletion of Data from Magnetic and Solid-State Memory” τον Ιούλιο του 1996 που αναφέρει 35 τρόπους διαγραφής δεδομένων από σκληρό δίσκο. Ο Gutmann αναφέρει χαρακτηριστικά πως κάθε χρήστης μπορεί να χρησιμοποιήσει συγκεκριμένα τυχαία μοτίβα που αντιστοιχούν και μπορούν να λειτουργήσουν στην κρυπτογράφηση που χρησιμοποιεί ο δικός τους δίσκος, εφόσον γνωρίζουν ποια είναι αυτή. Έτσι επιτυγχάνεται η τυχαιότητα των νέων εγγεγραμμένων πληροφοριών σε κάθε υπολογιστή και θεωρείται επιτυχημένη η Αντικατάσταση.

Τα κομμάτια των αρχείων που διαγράφηκαν είναι σχεδόν απίθανο να ανακτηθούν και η νέα πληροφορία που προστέθηκε στη θέση τους έχει αλλοιώσει το αρχείο οπότε ο αναλυτής που θα κάνει την ανάκτηση του θα θεωρήσει το αρχείο ως τυχαίο και μη αναγκαίο για την έρευνά του. Βέβαια πολλοί υποστηρίζουν πως υπάρχει τρόπος ανάκτησης της διεγραμμένης πληροφορίας, πάρα το γεγονός ότι ακόμη και με πειράματα που έχουν γίνει η ανάκτηση της γίνεται πάντα κατά προσέγγιση. Κατά κύριο λόγο όμως θεωρείται ακατόρθωτο και αν ληφθεί υπόψιν ότι δεν υπήρξαν δημοσιευμένα αποτελέσματα αυτών των πειραμάτων, πλέον η ανάκτηση θεωρείται αδύνατη ακόμη και από τους υποστηρικτές της.

ROOTKIT (Λιτσαρδόπουλος Αθανάσιος-Μαλαθούνης Αλέξανδρος)[επεξεργασία]

Το Rootkit είναι ένα λογισμικό το οποίο χρησιμοποιούν κατα κύριο λόγο οι χάκερ για να επιτεθούν σε έναν στόχο χωρίς να τους καταλάβει ο χρήστης και αποτελείται απο ένα σύνολο προγραμμάτων(scripts) και αρχείων ρυθμίσεων. Ενα rootkit μπορεί να αποκρύψει μολυσμένα αρχεία και διεργασίες που έχει περάσει ο κακόβουλος χρήστης στον υπολογιστή του θύματος, να παραμείνει για μεγάλο χρονικό διάστημα στον υπολογιστή και να κάνει δύσκολο έως και απίθανο τον εντοπισμό του απο προγράμματα ανίχνευσης(Forensic tools). Οταν ένα rootkit εγκατασταθεί στον υπολογιστή,ο κακόβουλος χρήστης μπορεί να περάσει και άλλα αρχεία(ιούς κυρίως),να κάνει διάφορες ενέργεις στον υπολογιστή χωρίς να το αντιληφθεί ο χρήστης θύμα και να υποκλέψει πληροφορίες(κωδικούς κτλ.).Σε περίπτωση που ο χρήστης-θύμα θέλει να κοιτάξει τα αρχεία του(απο υποψία ή απο ρουτίνα) δεν θα βρεί τα malware που υπάρχουν. Ενα πιο σύνθετο rootkit(σε επίπεδο πυρήνα) μπορεί να τροποποιήσει τα προνόμια μία εργασίας, να δημιουργήσει κενά ασφαλείας στον υπολογιστή, να συλλέξει πληροφορίες απο το σύστημα και να εξουδετερώσει τις άμυνες του. Εκτός απο του χάκερ,το rootkit έχει χρησιμοποιηθεί απο την Sony/BMG η οποία τοποθέτησε την τεχνολογία DRM σε διάφορα CD τα οποία περιείχαν rootkit ώστε να μη μπορεί κανένας να παρεμποδίσει το DRM. Παλαιότερα μία root-kitted έκδοση του GNU C compiler είχε σταλεί στα εργαστήρια Bell για να το χρησιμοποιήσουν στο λειτουργικό Unix.Σύμφωνα με φήμες, rootkit υπήρξε και σε μία έκδοση του λειτουργικού συστήματος “Sun”. Τα πιο γνωστά rookit είναι: Το Alureon(Win32/Aleuron)ανήκει στα trojan data-stealing και μπορεί να δώσει στον χάκερ σημαντικές και προσωπικές πληροφορίες που περιέχει ο υπολογιστής του θύματος όπως για παράδειγμα κωδικούς.Επίσης μπορεί να στείλει κακόβουλο λογισμικό καθώς και να παραβιάσει κάποια driver καθιστώντας τα αναξιόπιστα/ύποπτα.Το Sirefef(Win32/Sirefef): Χρησιμοποιείται για την απόκρυψη της παρουσίας του χάκερ απο τον χρήστη και είναι υπεύθυνο για λήψη και εκτέλεση αρχείων,επικοινωνία με άλλους υπολογιστές και απενεργοποίηση των δυνατοτήτων ασφαλείας. Το Sinowal(Win32/Sinowal) ανήκει στην κατηγορία trojan backdoor και κλέβει κωδικούς και ονόματα χρήστη για τραπεζικές ιστοσελίδες. Τέλος το Cutwail(Win32/Cutwail) είναι υπεύθυνο για την υποκλοπή email και για να στέλνει spam email.


Πηγές: https://www.microsoft.com/security/portal/mmpc/threat/rootkits.aspx https://el.wikipedia.org/wiki/Rootkit

WIPE (Βρούτσης Αλέξανδρος-Μπουλλάρι Μαριο)[επεξεργασία]

DBAN (Μπράτση Μαρία)[επεξεργασία]

Το Darik's Boot and Nuke εν συντομία DBAN, αποτελεί ένα πρόγραμμα ανοικτού κώδικα ή, με άλλα λόγια, ένα ελεύθερο λογισμικό διαγραφής αρχείων, το οποίο έχει την δυνατότητα να διαγράφει αυτόματα τα αρχεία ενός σκληρού δίσκου, αφού πρώτα τον έχει ανιχνεύσει.Το DBAN υλοποιήθηκε στις 28 Μαϊου του 2003 από προγραμματιστές της Darik Horn, ενώ η τελευταία έκδοσή του (η οποία είναι η 2.2.8 Beta) δημιουργήθηκε στις 22 Νοεμβρίου του 2013, ωστόσο, από τον Σεπτέμβριο του 2012 είχε ανακοινωθεί η εξαγορά του DBAN από την εταιρεία Biancco, που εδρεύει στη Φιλανδία. Επίσης, υλοποιείται σε συστήματα Linux x86 και διαθέτει άδεια κυκλοφορίας από την GPL.


Αναλυτικότερα, το DBAN μπορεί να είναι σε μορφή live-CD,DVD ή USB FLASH και προσφέρει μεγάλο αριθμό επιλογών, ώστε να επιτευχθεί η ασφαλής διαγραφή των περιεχομένων που βρίσκονται στο σκληρό δίσκο κάθε υπολογιστή. Ακόμη, δίνεται η δυνατότητα, μέσω διαφόρων αλγορίθμων, καθορισμού των επαναλήψεων από τον χρήστη (μέσω του αλγορίθμου ασφαλούς διαγραφής). Έτσι, με βάση ποια θα είναι η επιλογή που θα κάνει ο χρήστης αλλά και ποιες είναι οι δυνατότητες που παρέχει ο κάθε υπολογιστής, η διάρκεια της διαδικασίας να είναι αρκετά μεγάλη, δηλαδή πάρα πολλές ώρες.


Επιπρόσθετα, όπως συμβαίνει και σε περιπτώσεις άλλων μεθόδων που χρησιμοποιούνται για την διαγραφή δεδομένων, έτσι και το DBAN θα πρέπει να χρησιμοποιηθεί στην περίπτωση, πριν θελήσει ο χρήστης να πετάξει ή να πουλήσει τον υπολογιστή. Με αυτόν τον τρόπο επιτυγχάνεται η διαγραφή ιών ή και κατασκοπευτικού λογισμικού που θα μπορούσε να υπάρχει εν αγνοία του χρήστη, αλλά και το πιο σημαντικό τα στοιχεία του χρήστη.


Τέλος, η χρήση του DBAN αποτελεί απλή διαδικασία και καθορίζεται από τα εξής βήματα: α)Λήψη του εργαλείου DBAN και εγκατάσταση αυτού σε κάποιο CD, DVD ή USB FLASH β)Εκκίνηση του υπολογιστή με το μέσο αποθήκευσης που περιέχει το DBAN,για παράδειγμα CD γ)Επιλογή του δίσκου για εκκαθάριση και επιλογή διαγραφής κάθε ίχνους πληροφορίας.

ΠΗΓΕΣ: 1. https://en.wikipedia.org/wiki/Darik%27s_Boot_and_Nuke 2. https://tech.lds.org/wiki/Wiping_a_hard_drive_with_DBAN 3. https://skytal.es/wiki/%CE%9F%CE%B4%CE%B7%CE%B3%CF%8C%CF%82_%CE%B1%CF%83%CF%86%CE%B1%CE%BB%CE%BF%CF%8D%CF%82_%CE%B4%CE%B9%CE%B1%CE%B3%CF%81%CE%B1%CF%86%CE%AE%CF%82_%CE%B1%CF%81%CF%87%CE%B5%CE%AF%CF%89%CE%BD

SRM (Σταμάτης Γρηγόρης - Νίκος Μακρής)[επεξεργασία]

CRYPTOMITE (Καραγιαννοπούλου - Σπανός)[επεξεργασία]

Blancco Flash (ΑΓΓΕΛΑΚΟΠΟΥΛΟΥ ΕΙΡΗΝΗ-ΔΗΜΗΤΡΑ)[επεξεργασία]

Η εταιρεία Blancco ιδρύθηκε το 1997 και στην αρχή της δημιουργίας της είχε ως έδρα της το Joensuu της Φιλανδίας.Βέβαια πλέον η εταιρεία δραστηριοποιείται σε όλο τον κόσμο.Ένα απο τα εργαλεία που δημιούργησε είναι και το Blancco Flash.Το Blancco Flash αποτελεί μια καλή λύση για την άρση των δεδομένων ενός λογισμικού.Επιπλέον το εργαλείο που αναφέρθηκε προηγουμένως εκτός απο το γεγονός πως είναι φιλικό προς το χρήστη εξασφαλίζει και την πλήρη εναρμόνιση τόσο με την κυβερνητική νομοθεσία όσο και με τις εσωτερικές πολιτικές ασφαλείας IT.

Επίσης απαρτίζεται απο διεθνώς αναγνωρισμένα πρότυπα διαγραφής και έχει τη δυνατότητα να υποστηρίζει ένα μεγάλο αριθμό απο αλγορίθμους διαγραφής.Επιπρόσθετα το Blancco Flash μπορεί να βρεθεί είτε με τη 'μορφη' μιας εφαρμογης της επιφάνειας εργασίας είτε σαν πακέτο MSI[5] όταν αυτό διακλαδώνεται σε πολλούς χρήστες.Το λογισμικό του συγκεκριμένο εργαλείου έχει τη δυνατότητα να διαγράφει δεδομένα την ίδια χρονική στιγμή σε πολλές συσκευές και στη συνέχεια να εμφανίζει την κατάσταση όλων των συνδεδεμένων μονάδων προκειμένου να μπορεί να διαχειρίζεται καλύτερα τη διαδικασία.

Παράλληλα μετά τη διαγραφή των δεδομένων δημιουργούνται αυτόματα προσαρμόσιμες αναφορές οι οποίες περιέχουν το υλικό για έναν ασφαλή έλεγχο της διαδικασίας.Σημαντικό να αναφερθεί είναι και το ότι το Blancco Flash υποστηρίζεται μόνο απο τα εξής μέσα αποθήκευσης,το USB drives αντίχειρα[6],Secure Digital (SD) κάρτες μνήμης[7],κάρτες CompactFlash[8],Microdrives[9],MP3 player και απο άλλες συσκευές αποθήκευσης μνήμης flash-based τα οποία υποστηρίζονται απο Microsoft Windows.Τέλος το Blancco Flash παρέχει απόλυτη ασφάλεια σχετικά με τη διαρροή και την παραβίαση των δεδομένων.


Πηγές:http://www.blancco.com/sites/default/files/product_sheets/product-one-pager-blancco-flash.pdf

https://www.securitywizardry.com/index.php/products/forensic-solutions/anti-forensic-tools/blancco-flash.html

Evidence Eliminator(Eυστράτιος Χατζηαφράτης - Ενέο Κούρτι)[επεξεργασία]

The Onion Router (Τάγκας Στέλιος - Μάριος Αθανάσιος Τσόγκας)[επεξεργασία]

Το The Onion Router, ή Tor εν συντομία, είναι ένα πρόγραμμα που επιτρέπει στους χρήστες να πλοηγούνται στο διαδίκτυο ανώνυμα. Αυτό το καταφέρνει κρυπτογραφώντας πολλάκις τα πακέτα επικοινωνίας του χρήστη και δρομολογώντας τα τυχαία μέσα από ένα δίκτυο με πάνω από έξι χιλιάδες κόμβους, με κάθε κόμβο να αποκρυπτογραφεί από ένα επίπεδο, μέχρι τέλος να φτάσουν στον τελικό προορισμό τους, έτσι ώστε κάποιος ο οποίος παρακολουθεί τα πακέτα του χρήστη να δυσκολευτεί να παρακολουθήσει την δραστηριότητά του. Το πρόγραμμα αυτό έχει δημιουργηθεί ως ένα εργαλείο για να διατηρήσει ο χρήστης την ανωνυμία του στο διαδίκτυο, παρέχει πρόσβαση σε κρυμμένες υπηρεσίες οι οποίες έχουν αναπτυχθεί πάνω στο δίκτυο και λειτουργεί κυρίως από την κοινότητά του, μέσω εθελοντικής προσφοράς τερματικών, διαφήμισης, χρημάτων ή εργασίας (πχ. γραφή κώδικα, ανίχνευση σφαλμάτων, μετάφραση, δημιουργία προγραμμάτων που να χρησιμοποιούν το Tor).

Παραδείγματα χρήσης του Tor περιλαμβάνουν παράνομες καθώς και νόμιμες δραστηρίοτητες, όπως εμπόριο ναρκωτικών και όπλων, πρόσβαση σε σελίδες με περιεχόμενο παιδικής πορνογραφίας, κριτικής πολιτικών και οικονομικών οντοτήτων, διαρροή κυβερνητικών μυστικών, καταγγελίες δραστηριοτήτων παράνομων κυκλωμάτων, καταγγελίες παραβίασης ανθρώπινων δικαιωμάτων, αποφυγή καταγραφής ιστορικού, μεταφορά ιδιωτικών πολυμέσων και μηνυμάτων και συμμετοχή σε νόμιμα και παράνομα τυχερά παιχνίδια.

Πηγές:
https://www.torproject.org
https://en.wikipedia.org/wiki/Tor_%28anonymity_network%29

Invisιble Secrets(Ψωμιάδης Ελευθέριος- Μπερμπέρης Δημήτριος)[επεξεργασία]

Το Invisible Secrets 4 είναι ένα εργαλείο το οποίο δημιουργήθηκε τον Ιούνιο του 2006 και είναι ιδιοκτησία της Potentate ενώ προμηθεύεται απο την NeoByte Solutions. Όσον αφορά τη λειτουργία του μπορεί να κρυπτογραφήσει δεδομένα και αρχεία για διαφύλαξη αλλά και για ασφαλή μεταφορά μέσω του διαδικτύου, εκτός απο τη κρυπτογράφηση αρχείων και δεδομένων μπορεί επιπλέον να τα κρύψει σε μέρη τα οποία είναι προφανή στο καθένα,όπως για παράδειγμα σε εικόνες ,αρχεία ήχου ή σε ιστοσελίδες. Με αυτό το τρόπο ο χρήστης μπορεί να προστατέψει τις πληροφορίες του απο το καθένα αλλά επίσης μπορεί να κρυπτογραφήσει ή να κρύψει αρχεία απευθείας απο τους περιηγητές και στη συνέχεια να τα μεταφέρει μέσω e-mail ή μέσω διαδικτύου. Το συγκεκριμένο εργαλείο εμπεριέχει αλγόριθμους κρυπτογράφησης(συμπεριλαμβανομένου του AES- Rijndael), δίνει στο χρήστη τη δυνατότητα να αποθηκεύσει τους κωδικούς του με ασφάλεια και να δημιουργήσει καινούργιους πάλι με ασφάλεια. Ο χρήστης μπορεί ακόμα μέσω του εργαλείου αυτού να καταστρέψει αρχεία , φακέλους και οτιδήποτε ίχνη έχει αφήσει στο διαδίκτυο με τη βοήθεια ενός Shredder(DoD 5220.22-M), τα οποία δε μπορούν στη συνέχεια να ανακτηθούν και να προστατέψει ορισμένες εφαρμογές με τη βοήθεια κωδικών. Του δίνει επίσης τη δυνατότητα να δημιουργήσει αυτό-αποκρυπτογραφημένα πακέτα τα οποία στη συνέχεια μπορεί να τα στείλει με e-mail όπου ο χρήστης επιθυμεί. Εμπεριέχει ακόμα ένα εργαλείο το οποίο επιτρέπει τη ασφαλή μεταφορά κωδικών μεταξύ 2 χρηστών χρησιμοποιώντας μια κρυπτογραφημένη γραμμή διαδικτύου, έναν πίνακα κρυπτογράφησης που τον βοηθάει να χρησιμοποιήσει το πρόγραμμα μέσω του Windows Explorer αλλά και να αποθηκεύει οτι ειδών αρχεία θελήσει ο χρήστης σε ένα κάδο τα οποία στη συνέχεια θα μπορεί να τα χειριστεί με πολύ απλές κινήσεις. Επίσης ο χρήστης μπορεί να είναι ενήμερος για τις εξελίξεις που αφορούν το συγκεκριμένο εργαλείο χωρίς να επισκεφτεί την ιστοσελίδα της εταιρείας αφού θα τον ειδοποιεί η ίδια η εταιρεία. Τέλος, εμπεριέχει φυσικά οδηγό εγκατάστασης που κατευθύνει το χρήστη μέσα απο τα απαραίτητα βήματα που χρειάζονται για να προστατέψει τα δεδομένα του.

ΠΗΓΕΣ: http://www.invisiblesecrets.com/

BCWIPE (Μυτιληνού Θάλεια- Κατράνας Κώστας)[επεξεργασία]

Το BCWIPE είναι ένα λογισμικό το οποίο διαγράφει αρχεία. Αναπτύχθηκε από την Jetico Inc, μια ιδιωτική εταιρία που έχει ως έδρα της την Φιλανδία και παρέχει τεχνολογικά προΪόντα σε κυβερνήσεις, βιομηχανίες , εργαστήρια, στρατιωτικές υπηρεσίες και σε διάφορες άλλες επιχειρήσεις. Το BCWIPE είναι ένα λογισμικό το οποίο διαγράφει με ασφάλεια τα αρχεία με πολλαπλά περάσματα με τρόπο ο οποίος είναι αδύνατον να ανακτη8ούν ποτέ ξανά. Είναι ένα εργαλείο στρατιωτικού κυρίως χαρακτήρα το οποίο ενσωματώνεται με Windows και Unix. Xρησιμοποιείται ήδη από το υπουργείο άμυνας των Ηνωμένων Πολιτειών της Αμερικής και έχει κλη8εί για δράση από την πολεμική αεροπορία. Το συγκεκριμένο εργαλείο διαγράφει ολόκληρους δίσκους , σκοτώνει αυτόματα τα αρχεία όταν αυτά διαγράφονται με σκοπό να μην μπορούν να βρεθούν ούτε στον κάδο ανακύκλωσης ούτε να ανακτηθούν από πουθενά. Είναι ικανό να βρίσκει ακόμα και τα σκιώδη αντίγραφα των διαγραμμένων δεδομένων και να τα εξαφανίζει. Το μάρτιο του 2011 στο Σαν Ντιέγκο διακρίθηκε και έλαβε το πρώτο βραβείο καινοτομίας στα προΪόντα ασφάλειας. Το BCWIPE μπορεί να εκτελεστεί στον υπολογιστή οποιουδήποτε χρήστη και τρέχει από την γραμμή εντολών. Είναι εύκολο στη χρήση του αλλά αργό . Έχει τη δυνατότητα προγραμματισμού διαγραφής αρχείων και εκτός λειτουργίας του υπολογιστή , κάτι που βοη8ά στην εξοικονόμιση χρόνου όταν η διαγραφή διαρκεί μεγάλο χρονικό διάστημα. Το πλεονέκτημα του είναι πως διαγράφει εντελώς τα αρχεία από το σύστημα ακόμα και τα πιό κρυφά, σε βαθμό που είναι σαν να μην υπήρξαν ποτέ στο σύστημα. Το μειονέκτημα είναι πως είναι κάπως αργό . Παρόλα αυτά είναι ένα ισχυρό εργαλείο που παρέχει δύναμη και ευελιξία και είναι εύκολο στη χρήση του.

Πηγές: https://en.wikipedia.org/wiki/BCWipe http://news.yahoo.com/bcwipe-review-212050143.html

Compression bombs (Μπρούτσος Κώστας-Ντάσκας Μιχάλης)[επεξεργασία]

Ένα από τα εργαλεία τα οποία αποτρέπουν ή δυσκολεύουν περισσότερο τήν σωστή εγκληματολογική έρευνα,γνωστά και ως εργαλεία antiforensics είναι το εργαλείο compression bomb.Το compression bomb είναι ενα εργαλείο antiforensic το οποίο βοηθάει αυτούς που το δημιουργούν οι οποίοι συνήθως είναι hackers να μειώνουν τα αποδεικτικά στοίχεια ώστε να μην μπορούν να τούς εντοπίσουν από τις διαδικασίες εγκληματολογικής έρευνας.Το compression bomb είναι μια βόμβα συμπίεσης η οποία είναι μια μέθοδος με σκοπό τήν απόκρυψη δεδομένων,συνήθως η συγκεκριμένη βόμβα είναι γνωστή καί με το όνομα zip bomb που σημαίνει φερμουάρ βόμβα.Η βόμβα zip χρησιμοποιείται από άτομα τα οποία θέλουν να προκαλέσουν ζημία στο τοίχο προστασίας ενός λογισμικού ώστε μέσα από την ζημία που θα καταφέρουν να προκαλέσουν στο λογισμικό προστασίας να περάσουν κάποιον ιό ο οποίος θα μολύνει το σύστημα,επίσης καταστρέφει το σύστημα αναγνώρισης του υπολογιστή.Το zip bomb είναι ένα μικρό αρχείο zip.Συνήθως το zip bomb αποτελείται από αρχεία zip τα οποία είναι αρχεία πολύ μικρά για παράδειγμα αρχεία 42.zip δηλαδή αρχεία που αποτελούναι απο 42 kilobytes συμπιεσμένων δεδομένων.Τα συμπιεσμένα αυτά δεδομένα αποτελούνται απο 5 στρώματα αρχείων.Αυτά τα αρχεία zip μπορούν να βρίσκονται σε πολλές ιστοσελίδες στο διαδίκτυο καί ετσι μπόρει να γίνει η λήψη αυτών τών αρχείων.Οι hackers χρησιμοποιούν αυτήν την μέθοδο διότι όταν γίνεται η λήψη του zip αρχείου μοιάζει με ένα αρχείο 42 kilobytes αλλά όταν γίνει η αποσυμπίεση του αρχείου τότε υπάρχει ένα αρχείο 4.3 Gigabyte το οποίο θα επαναλαμβανόταν 16 φορές καί θα συσκευαζόταν ξανά καί ξανά καί το σύνολο των μη συμπιεσμένων αρχείων θα ήταν 4.5 petabytes εάν ο χρήστης αποσυμπίεζαι το αρχείο των 42 kilobytes.Το antivirus θα σαρώσει το αρχείο ώστε να γίνει πρόληψη τών επιθέσεων με αποτέλεσμα να προκαλέσει υπερχείλιση του buffer(buffer overflow)έτσι αυτοί που επιθυμούν να μπούν στο σύστημα μπαίνουν χωρίς να κάνουν login διότι το μήκος του κειμένου που έχει δοθεί στο πρόγραμμα είναι μεγαλύτερο από το μήκος του buffer και το μέρος του κώδικα περνάει στο πρόγραμμα.Έτσι το κακόβουλο αρχείο αρχειοθέτησης το οποίο δημιουργείται διακόπτει την λειτουργία τού προγράμματος πού το διαβάζει με λίγα λόγια το πρόγραμμα θεωρείται στην ουσία άχρηστο.

σχετικό βίντεο το οποίο δείχνει την δημιουργία της βόμβας:(https://www.youtube.com/watch?v=J93OqruUK4o) πηγές:https://en.wikipedia.org/wiki/Zip_bomb (http://www.ghacks.net/2008/07/27/42-kilobytes-unzipped-make-45-petabytes/) (http://hackingdiary143.blogspot.gr/2011/08/create-zip-bomb-zip-of-death.html) (https://el.wikipedia.org/wiki/%CE%95%CF%80%CE%AF%CE%B8%CE%B5%CF%83%CE%B7_%CE%BC%CE%B5_%CF%85%CF%80%CE%B5%CF%81%CF%87%CE%B5%CE%AF%CE%BB%CE%B9%CF%83%CE%B7_%CF%80%CF%81%CE%BF%CF%83%CF%89%CF%81%CE%B9%CE%BD%CE%AE%CF%82_%CE%BC%CE%BD%CE%AE%CE%BC%CE%B7%CF%82)

SecureIT (Χατζησαλάτας-Παπαίωάννου)[επεξεργασία]

To SecureIT είναι ένα προϊόν της Cypherix το οποίο επιτελεί συγκεκριμένες λειτουργείες για να ασφαλίσει τον υπολογιστή και τα αρχεία του χρήστη.Το συγκεκριμένο πρόγραμμα αναφφέρεται σε χρήστες συστημάτων Windows.Το επιχειρηματικό του μοντέλο βασίζεται σεμηνιαία συνδρομή αλλά διαθέτει και 30 ημέρες ελεύθερης δοκιμής.Θα μπορούσε να χαρακτηριστεί σαν ένα πολυεργαλείο καθώς προσφέρει μια σχεδόν ολοκληρωμένη λίστα χαρακτηριστικών ασφάλειας. Το secureIT προσφερει κρυπτογραφία 256 bit AES και 448 bit Blowfish με διάφορες επιλογές και δυνατότητες.Μία από αυτές είναι η επιλογή "Encrypt to Exe" η οποία παράγει ένα κρυπτογραφημένο εκτελέσιμο αρχείο απο τους επιλεγμένους φακέλους.Όταν εκτελεστεί επαναφέρει τους φακέλους και τα αρχεία στην αρχική αναγνώσιμη μορφή.Ακόμα περιέχει και έναν τεμαχιστή αρχείων (file shredder) ο οποίος διαγράφει τα επιλεγμένα αρχεία με τυχαία bits εξασφαλίζοντας ότι τα δεδομένα δεν μπορούν να ανακτηθούν. Το SecureIT 2013 είναι κατα πολύ καλύτερο απο τον προκάτοχο του καθώς εντοπίζει πολύ μεγαλύτερο ποσοστό κακόβουλου λογισμικού.Συγκεκριμένα εντοπίζει τον ίδιο αριθμό απειλών με το Thirtyseven4 Antivirus 2013 αλλά βαθμολογείται με 4.9 στην αφαίρεση τους ενώ το προαναφερθέν βαθμολογήθηκε με 4.6.Παρόλα αυτά το πρόγραμμα μπορεί να προκαλέσει παράπλευρες ζημιές στην προσπάθεία του να αφαιρέσει κακόβουλο λογισμικό όπως την απώλεια των drivers ή σημαντικών dll αρχείων.Υπάρχει η επιλογή επισκευής του σστήματος απο τεχνικό της εταιρείας με χρήση απομακρυσμένου ελέγχου αλλά σε αυτήν την περίπτωση απαιτείται ένα επιπλέον ποσό.Ακόμα ενώ πολλά παρόμοια προγράμματα περιλαμβάνουν κάποιο οπτικό μέσο με περισσότερες επιλογές για περιπτώσεις που το σύστημα δεν εκκινείται κανονίκα και ο χρήστης αναγκάζεται να ενεργοποιήσει τον υπολογιστή σε κατάσταση ασφαλούς λειτουργείας,το συγκεκριμένο πρόγραμμα δεν προσφέρει κάποια λυση παρα μόνο την απομακρυσμένη εκκαθάριση απο κάποιον τεχνικό.Γενικότερα οι βαθμολογίες δείχνουν ότι το SecureIT είναι ένα αρκετά καλο εργαλείο με την βαθμολογία του να βρίσκεται γύρω στο 7.5.

BestCrypt [Σ.Σκούταρης - Α.Σολωμός][επεξεργασία]

Το BestCrypt είναι μια εφαρμογή κρυπτογράφησης δίσκου συμβατή με Windows (από 9x έως και 10), Linux (2.6 ή νεότερο) και OS X (10.6 ή νεότερο), η οποία αναπτύχθηκε από την Jetico Inc. το 1995. Στόχος της εφαρμογής είναι η κρυπτογράφηση των δεδομένων του χρήστη ούτως ώστε να μην είναι προσβάσιμα σε κανέναν άλλο πέρα από τον ίδιο. Αυτό επιτυγχάνεται με τη χρήση προσωπικού κωδικού και σε συνδυασμό με αλγόριθμους κρυπτογράφησης (που αξιοποιούν τις λειτουργίες XTS,LRW και CBC) που χρησιμοποιούνται: AES ,Blowfish ,Twofish ,CAST ,Triple-Des ,Serpent
Η εφαρμογή αυτή παρέχει 3 είδη κρυπτογράφησης:
-Το πρώτο είδος είναι η διαμερισματική κρυπτογράφηση, όπου ο χρήστης έχει την επιλογή να κρυπτογραφήσει ένα διαμέρισμα (partition) του δίσκου ή ακόμα και ολόκληρο το δίσκο. Επιπλέον, ένα ή/και περισσότερα τμήματα του δίσκου μπορούν να κρυπτογραφηθούν αφήνοντας τα υπόλοιπα τμήματα μη-κρυπτογραφημένα.
-Το δεύτερο είδος είναι η ολοκληρωτική κρυπτογράφηση, δηλαδή κρυπτογραφεί ολόκληρο το σκληρό δίσκο άσχετα από την ύπαρξη ατομικών διαμερισμάτων που ίσως υπάρχουν στο δίσκο.
-Στο τρίτο είδος έχουμε κρυπτογράφηση τόμου, η οποία επιτρέπει την κρυπτογράφηση τόμων που μπορεί να είναι σε ένα δίσκο ή που εκτείνονται σε πολλούς δίσκους, όπως για παράδειγμα μια συνδεσμολογία RAID. Ο κάθε τόμος χρησιμοποιεί τον ίδιο κωδικό ανεξαρτήτως του πλήθους των φυσικών δίσκων που χρησιμοποιούνται σε αυτόν, κάτι που δεν ισχύει στην περίπτωση των άλλων δύο ειδών κρυπτογράφησης, όπου το κάθε διαμέρισμα ή σκληρός δίσκος θα πρέπει να έχει το δικό του μοναδικό κωδικό πρόσβασης.
Κάποιες γενικές λειτουργίες του περιλαμβάνουν:
-Δημιουργία και διαχείριση εικονικών δίσκων αποθήκευσης.
-Μετακίνηση και αποθήκευση κρυπτογραφημένων εικονικών δίσκων μεταξύ των προαναφερθέντων λειτουργικών συστημάτων.
-Εύκολη αποθήκευση και πρόσβαση των κρυπτογραφημένων αρχείων μέσω εικονικών συσκευών.
-Προεγκατεστημένο anti-keylogger το οποίο, καθώς ενεργοποιηθεί, λειτουργεί στο παρασκήνιο όταν ο χρήστης εισάγει τον κωδικό του στο κουτάκι του BestCrypt παρεμποδίζοντας έτσι το οποιοδήποτε κακόβουλο λογισμικό (keylogger) από το να καταγράψει τον πραγματικό κωδικό που εισήχθηκε.
Στην πιο πρόσφατη έκδοσή του (V.9) υποστηρίζει εικονικούς δίσκους μεγαλύτερους από 2 TB και βοηθά στην συνολική αύξηση των επιδόσεων του συστήματος κατά 30% συγκριτικά με παλιότερες εκδόσεις.

Πηγές: 1,2,3

MANTRA (ΡΑΠΤΟΤΑΣΙΟΥ ΓΕΩΡΓΙΑ,ΚΑΛΑΠΑΝΙΔΑ ΛΑΜΠΡΙΝΗ)[επεξεργασία]

ΤΟ ΜΑΝΤΡΑ είναι ενα πρόγραμμα anti-forensics, είναι λογισμικό ανοιχτού κώδικα το οποίο περιέχει μια συλλογή απο εργαλεία που εμφανίζονται σε ένα πρόγραμμα περιήγησης στο διαδίκτυο και σκοπός του είναι να κάνει το έργο του χρήστη πιο εύκολο. Ουσιαστικά βοηθάει τους φοιτητές,τους επαγγελματίες και τους προγραμματιστές και πολλους άλλους.

Επίσης το MANTRA είναι ενα πλαίσιο ασφαλείας το οποίο βοηθάει στο να γίνουν και οι πέντε φάσεις των επιθέσεων. Δηλαδή την αναγνώριση, την σαρωση και την καταμέτρηση, την απόκτηση πρόσβασης και την κλιμάκωση των προνομιών καθώς και την διατήρηση της πρόσβασης. Εκτός απο το σύνολο εργαλείων βοηθάει τους χρήστες να βρουν τα σφάλματα στον κώδικα και να εξαφανίσουν τα ίχνη τους. Το MANTRA μπορεί να τρέξει σε linux ,MAC και Windows. Είναι εύκολο, απλό και φιλικό προς τον χρήστη και επίσης οι χρήστες μπορούν να το μεταφέρουν σε flash drive,CD/DVD, ή ακόμα σε κάρτα μνήμης και άλλα.

Υπάρχει και η έκδοση beta security MANTRA toolkit η οποία περιέχει επιπλέον ισχυρά εργαλεία για περισσότερη ευκολία για τον χρήστη, όπως είναι μερικά απο τα παρακάτω εργαλεία: Foxy Proxy:Είναι ένα εργαλείο διαχείρησης για firefox,google και internet explore.Hack bar:Ενα εργαλείο δοκιμών ελέγχου ασφάλειας.XSS ME:Δοκιμή για ευπάθειες XSS που μπορεί να προκαλέσουν ζημιά σε μία εφαρμογή.Cookie Monster: Προσφέρει ένα ευρύ φάσμα εργαλείων και στατιστικών στοιχείων για την ενίσχυση του παιχνιδιού. Firebug: Είναι ένα εργαλείο ανάπτυξης ιστοσελίδων που διευκολύνει τον εντοπισμό σφαλμάτων,την παρακολούθηση και την επεξεργασία της ιστοσελίδας CSS,HTML,JAVASCRIPT.Fire Cookie,iMacros,Poster,Key Manager,Fire FTP,Cookie Swap,URL Fliper,Chickenfoot,Form fox,Tamper Data και άλλα.

Πηγές:http://www.getmantra.com/tools.html

CCleaner [Θεοδοσιου Παντελεημων & Λιατσος Αλεξανδρος][επεξεργασία]

To CCleaner είναι ένα εργαλείο antiforensic το οποίο έχει σκοπό την διευκόλυνση των χρηστών όσον αναφορά τον καθαρισμό των malware αρχείων που υπάρχουν στον υπολογιστή καθώς και να τον κάνει να 'τρέχει' πιο γρήγορα. Επίσης μπορεί να διαγράψει προσωρινές ή δυνητικά ανεπιθύμητα αρχεία που έχουν απομείνει από ορισμένα προγράμματα που χρησιμοποιεί ο χρήστης συμπεριλαμβανομένων τους browsers και το ιστορικό τους, Adobe Flash Player, Sun Java, WinRAR, WinAce, WinZip ακόμα και από τα Anti Virus προγράμματα.Το CCleaner περιλαμβάνει έναν ‘καθαριστή μητρώου’(registry cleaner) για να εντοποιστούν και να διορθοθούν τα προβλήματα στο μητρώο των Windows όπως για παράδειγμα κάποιo λοιπές DLL αρχείο.

Αρνητικά χαρακτηριστικά του CCleaner είναι ότι δεν μπορεί να καθαρισει τον υπολογιστή από malware ιους ή spyware. Επισης αδυνατεί να ανακτήσει διαγραμμένα αρχεία ή να ανασυγκροτίσει τον δίσκο.Τέλος, το CCleaner δεν είναι συμβατό με τα Linux.

Όμως το CCleaner μπορεί να διαγράψει πληροφορίες από τον υπολογιστή, έτσι ώστε να μην είναι εκτεθημένος ο χρήστης σε άλλους κακόβουλους οι οποίοι προσπαθούν να του υποκλέψουν δεδομένα μέσω από forensic εργαλεία. Παράλληλα το εργαλείο αυτό μπορεί να καθαρίσει διαγραμμένα αρχεία του δίσκου τα οποία μπορεί να μην έχουν διαγραφεί οριστικά.Ωστόσο μπορεί να συμβάλει στην γρηγορότερη εκκίνηση του υπολογιστή καθώς σβήνει άχρηστα αρχεία τα οποία επιβαρύνουν τον υπολογιστη.Επιπλέον το CCleaner είνια συμβατό με Windows 10/8/7/Vista/Xp/2003/2008 server, Mac 10.6-10.9 και Android απο την CupCake έκδοση ακόμα.Τέλος το CCleaner υπάρχει σε 47 γλώσσες.

Βράβευση:

Το CCleaner έχει βραβευτεί ως το καλύτερο εργαλείο για την βελτιστοποίηση του υπολογιστή. Επίσης έχει πάρει 5/5 αστέρια από την CNET και την Softpedia. Παράλληλα έχει πάρει το Editor's Choice βραβείο τον Απρίλιο του 2009 από την CNET.

Πηγές: http://www.forensicfocus.com/Forums/viewtopic/p=6564979/ https://en.wikipedia.org/wiki/CCleaner https://www.piriform.com/ccleaner

Track Eraser Pro (Μανασής Βάιος - Μακρής Δημήτρης)[επεξεργασία]

Το Track Eraser Pro είναι ένα πρόγραμμα επί πληρωμή για λειτουργικά συστήματα Windows. Υποστηρίζει όλες τις εκδόσεις Windows από τα Windows NT μέχρι και τα Windows 8 καθώς και πολλούς φυλλομετρητές αλλά και άλλες εφαρμογές. Η εταιρία που το παράγει ονομάζεται Acesoft η οποία βγάζει και το Track Eraser που είναι παρόμοιο με το Track Eraser Pro αλλά πιο οικονομικό και με λιγότερες λειτουργίες. Η δουλειά του προγράμματος είναι να καθαρίζει τον δίσκο του υπολογιστή από αρχεία που αφήνουν πίσω, τόσο τα ίδια τα windows όσο και άλλα προγράμματα, τα οποία είναι αρχεία ιστορικού, cache, προσωρινά αποθηκευμένα αρχεία, cookies, κτλ. Τα αρχεία αυτά, εκτός του ότι μερικά απλά επιβαρύνουν την λειτουργία του υπολογιστή, δίνουν εύκολα συμπεράσματα, σε περίπτωση παρακολούθησης(forensic), για την χρήση που έγινε πρόσφατα στον υπολογιστή αυτόν. Ο χρήστης μπορεί να διαλέξει το περιεχόμενο που θα διαγραφτεί. Καθώς επίσης το πρόγραμμα δίνει την δυνατότητα δοκιμής, ώστε ο χρήστης να δει ακριβώς τα αρχεία τα οποία είναι προς διαγραφή και το μέγεθος τους, πριν τα διαγράψει στην πραγματικότητα. Ακόμα, εκτός από τις βασικές επιλογές που το πρόγραμμα παρέχει για το λειτουργικό σύστημα και ορισμένους φυλλομετρητές, αφήνει την επιλογή για πρόσθεση plug-ins σε σχεδόν όποια εφαρμογή επιθυμεί ο χρήστης. Όπου ο συνολικός αριθμός των εφαρμογών που το Track Eraser Pro μπορεί να επέμβει είναι πάνω από 200. Επιπλέον το πρόγραμμα έχει την δυνατότητα να παράγει ένα αρχείο log με τις διευθύνσεις από τα αρχεία που έσβησε. Επίσης μπορεί να οριστεί ένα χρονόμετρο για αυτόματη λειτουργία. Η διαγραφή των δεδομένων μπορεί να γίνει πολλές φορές (δηλαδή αντικαθιστώντας με κενούς χαρακτήρες) έτσι ώστε να αποφευχθεί το ενδεχόμενο της ανάκτησης τους. Τέλος ο χρήστης μπορεί να χρησιμοποιήσει το Track Eraser Pro για διαγραφή συγκεκριμένων αρχείων με τον παραπάνω τρόπο είτε από τον δίσκο του υπολογιστή είτε από εξωτερικά μέσα.

Πηγή: acesoft.net

Bitlocker (ΧΟΥΤΖΙΟΥΜΗΣ ΑΠΟΣΤΟΛΟΣ - ΚΟΥΤΣΙΔΗΣ ΓΙΩΡΓΟΣ)[επεξεργασία]

Μία από τις βασικές μεθόδους ενάντια στα εργαλεία forensic στην πληροφορική είναι φυσικά η κρυπτογράφηση των αρχείων. Ένα τέτοιο εργαλείο, που εφαρμόζει αυτήν την μέθοδο, παρέχοντας διάφορες τεχνικές κρυπτογράφησης, είναι το Windows Bitlocker. Πρόκειται για μια εφαρμογή που είναι ενσωματωμένη στο λειτουργικό σύστημα των Microsoft Windows, ξεκινώντας από τα Windows Vista και φτάνοντας μέχρι και σήμερα, στα Windows 10, Χρησιμοποιεί μεθόδους κρυπτογράφησης AES (Advanced Encryption Standard) 128bit ή 256 bit, σε συνδυασμό με την τεχνική CBC (Cipher Block Chaining) για περισσότερη ασφάλεια. Συγκεκριμένα, του επιτρέπει να κάνει κρυπτογράφηση ολόκληρων σκληρών δίσκων, όπως και του ίδιου του δίσκου που «τρέχει» τα Windows. Δίνει τρεις δυνατότητες πιστοποίησης εισόδου σε κρυπτογραφημένο σύστημα. Η μία είναι η εκμετάλλευση μιας τεχνολογίας που ονομάζεται Trusted Platform Module (TPM), ένα chip δηλαδή πάνω σε ορισμένες μητρικές πλακέτες, το οποίο λειτουργεί ως αποθήκη για τους κωδικούς που «γεννά» το Bitlocker. Έτσι, αν και τα αρχεία είναι κρυπτογραφημένα, ο χρήστης δε βλέπει κάποια αλλαγή στην εμπειρία του μπροστά από την οθόνη, καθώς η πιστοποίηση γίνεται αυτόματα, κατά την εκκίνηση του συστήματος, μέσω του συγκεκριμένου chip. Με οποιαδήποτε αλλαγή στην διαδικασία έναρξης, το Bitlocker απαγορεύει την είσοδο στο δίσκο. Πέρα από αυτό, αν για παράδειγμα το σύστημα δεν διαθέτει αυτό το chip, τότε η άλλη δυνατότητα είναι η εισαγωγή PIN από το χρήστη, που θα έχει επιλέξει ο ίδιος, κατά την εκκίνηση του συστήματος. Η τρίτη δυνατότητα είναι η χρήση ενός USB για την είσοδο σε αυτή. Ο κωδικός αποθηκεύεται στο USB, και το σύστημα τον διαβάζει, επίσης στην εκκίνηση. Απαραίτητη προϋπόθεση για αυτή τη μέθοδο, είναι η δυνατότητα του συστήματος να διαβάζει USB drives κατά την εκκίνηση. Βέβαια, αν γίνεται, τίποτα δεν εμποδίζει τη χρήση και των τριών δυνατοτήτων μαζί, για μέγιστη ασφάλεια. Επίσης το Bitlocker δίνει τη δυνατότητα να κρυπτογραφηθούν ολόκληρες αφαιρούμενες μονάδες δίσκου, όπως USB flash drives. Για να μπορεί κάποιος να δει τα περιεχόμενα τους, πρέπει να τα ξεκλειδώσει, όταν τα εισάγει σε ένα σύστημα που τρέχει Windows, παρέχοντας τον κωδικό που έδωσε στην διαδικασία κρυπτογράφησης. Επιπρόσθετα, πέρα από την κρυπτογράφηση αφαιρούμενων δίσκων, ο χρήστης μπορεί να κρυπτογραφήσει και έναν εικονικό σκληρό δίσκο (virtual hard drive) μέσα στο σύστημα, και να το χρησιμοποιεί σαν ένα κλειδωμένο φάκελο – αποθήκη, σταθερού βέβαια μεγέθους. Οποιαδήποτε μορφή κρυπτογράφησης κι αν επιλέξει ο χρήστης, το Bitlocker του παρέχει αυτόματα ένα κλειδί επανάκτησης, μια δικλείδα ασφαλείας δηλαδή, ώστε να μπορεί ο χρήστης ξεκλειδώσει το δίσκο, είτε επειδή έχει ξεχάσει τους κωδικούς του, είτε όταν το Bitlocker αντιληφθεί αλλαγή στην διαδικασία εκκίνησης του συστήματος (κάτι που ισχύει για το TPM, όπως αναφέρθηκε παραπάνω). Αυτό το κλειδί μπορεί να εκτυπωθεί από το χρήστη ή να αποθηκευτεί σε αρχείο σε κάποιο USB, ώστε να γίνει αυτόματη ανάκτηση. Μόνη διαφορά του συγκεκριμένου εργαλείου με τα άλλα εργαλεία που κυκλοφορούν, είναι πως οι κρυπτογραφημένες μονάδες δεσμεύονται με χρήση μόνο στα Windows.

Πηγές: 1, 2

Disk Wipe (Παναγιώτα Χατζηγεωργίου - Κώστας Βαλσαμόπουλος)[επεξεργασία]

Το Disk Wipe ειναι ενα δωρεάν φορητό λογισμικό που υποστηρίζεται απο τα Windows και έχει κυκλοφορήσει με την EULA ως άδεια χρήσης. Είναι δωρεάν και μπορεί να χρησιμοποιηθεί είτε για προσωπική είτε για επαγγελματική χρήση χωρίς κανέναν περιορισμό. Είναι ένα λογισμικό του οποίου η λειτουργία είναι η μόνιμη απομάκρυνση δεδομένων απο τον σκληρό δίσκο. Το Disk Wipe χρησιμοποιόντας πολλές φορές ισχυρούς αλγορίθμους οι οποίοι γεμίζουν τον σκληρό δίσκο με άχρηστα δυαδικά δεδομένα καταφέρνει να απομακρύνει όλα τα αρχικά δεδομένα του δίσκου κάνοντας την πιθανότητα ανάκτησης τους ανύπαρκτη. Το Disk Wipe βεβαιώνει οτι είναι η μοναδική και αποδεδειγμένη λύση στην μόνιμη απομάκρυνση όλων των αρχείων από ένα σκληρό δίσκο χωρίς να μπορούμε να τα ανακτήσουμε έκτος φυσικά από την μέθοδο της φυσικής καταστροφής. ΌΛα βασίζονται στην λειτουργία αυτών των προηγμένων αλγορίθμων οι οποίοι ουσιαστικά αντικαθηστούν όλα τα δεδομένα του σκληρού δίσκου τα οποία αποτελούνται από δυαδικά ψηφία δηλαδή μηδέν και ένα (0 και 1) με καινούρια διαφορετικά δεδομένα τα οποία γράφονται πάνω στα παλιά. Στην ουσία δηλαδή δεν πρόκειται ακριβώς για διαγραφή των αρχικών δεδομένων αλλά για αντικατάσταση τους απο καινούρια τυχαία χωρίς νόημα δεδομένα. Η διαδικασία αυτή εκτελείται αρκετές φορές ώστε να γίνει σίγουρο το οτι τα δεδομένα δεν θα μπορέσουν να ανακτηθούν σε καμιά περίπτωση. Παρά λοιπόν το όνομα του το Disk Wipe δεν σβήνει ούτε διαγράφει στην πραγματικότητα τα δεδομένα του δίσκου απλώς τα αντικαθηστά με καινούρια τα οποία γράφονται πάνω στα παλιά. Το λογισμικό είναι φορητό και δεν απαιτείται καμία εγκατάσταση. Δουλεύει με USB sticks, SD κάρτες και άλλες φορητές συσκευές μνήμης. Υποστηρίζεται από όλα τα δημοφιλή συστήματα αρχείων των Windows π.χ NTFS,Fat,Fat32. Χρησιμοποιεί αναβαθμισμένους αλγορίθμους Dod 5220-22.M ,US Army ,Peter Guttman. Είναι μικρό και ελαφρύ. Δεν περιέχει adware και malware δηλαδή κακόβουλο λογισμικό. Τέλος σέβεται την ιδιοτικότητα , το απόρρητο των δεδομένων και των πληροφοριών του χρήστη, δεν προσπαθεί να συνδεθεί με απομαρυσμένο server και δεν αποστέλλει οποιαδήποτε πληροφορία μέσω του διαδικτύου.

DECAF(ΚΑΡΑΣΤΟΓΙΑΝΝΗ ΔΗΜΗΤΡΑ-ΜΕΣΗΜΕΡΗΣ ΜΙΧΑΗΛ)[επεξεργασία]

Το Detect and Eliminate Computer Acquired Forensics(DECAF) είναι ένα εργαλείο αντικατασκοπείας το οποίο δημιουργήθηκε το 2009 από δύο προγραμματιστές με σκοπό να παρεμποδίσει τις δράσεις του Computer Online Forensic Evidence Extractor(COFEE)[1] το οποίο είναι σύνολο εργαλείων που δημιουργήθηκε από την Microsoft[2] και βοηθά τους ειδικούς στην εξιχνίαση εγκλημάτων με την συλλογή ψηφιακών αποδείξεων από έναν υπολογιστή ανεξάρτητα αν αυτά έχουν κωδικό ή είναι κρυπτογραφημένα ,περιέχει 150 εργαλεία και αυτό επιτυγχάνεται με την εγκατάσταση του σε ένα USB ή άλλη εξωτερική μονάδα δίσκου.

Το DECAF ουσιαστικά πρόκειται για ένα πρόγραμμα το οποίο τρέχει μόνο σε λογισμικό Windows και προστατεύει τον υπολογιστή που βρίσκεται σε λειτουργία από το COFEE,παρακολουθεί σε πραγματικό χρόνο εφαρμογές που τρέχουν και USB[3] και σε περίπτωση που το εντοπίσει εκτελεί πολυάριθμες διαδικασίες οι οποίες καθορίζονται από τον χρήστη.Αν ο χρήστης επιλέγει την λειτουργία κλειδώματος τότε έχει την δυνατότητα διαγράψει όλα τα προσωρινά έγγραφα του Cofee,την κρυφή μνήμη τα cookies,να εξαφανίσει όλες τις MAC διευθύνσεις[4],να νεκρώσει άμεσα όλες τις θήρες USB και τις διαδικασίες που εκτελούνται.δηλαδή μπορεί να απενεργοποιήσει οτιδήποτε στο μηχάνημα του υπολογιστή ακόμα και την δισκέτα,το CD-ROM[5],τον προσαρμογέα δικτύου κλπ.Ωστόσο μπορεί ακόμα και να αλλοιώσει και να μολύνει τα στοιχεία έτσι ώστε να παραπλανήσει τους ειδικούς.

Στις 18 Δεκεμβρίου 2009 οι δημιουργεί του ανακοίνωσαν ότι πρόκειται για φάρσα και είχε ως στόχο να αυξήσουν την ευαισθητοποίηση στο ευρύ κοινό σε θέματα που αφορούν την ασφάλεια καθώς δεν πίστεψαν στην αξιοπιστία του COFEE διότι κατά την γνώμη τους θα μπορούσε να χρησιμοποιηθεί ακόμα και από εγκληματίες και αυτό το καθιστά μη ασφαλές.Από την άλλη πλευρά οι δημιουργοί του COFEE υποστηρίζουν ότι η ανάπτυξη του είχε στόχο την αποκλειστική χρήση στον χώρο της εγκληματολογίας.

Πηγές: https://en.wikipedia.org/wiki/Computer_Online_Forensic_Evidence_Extractor#DECAF http://news.softpedia.com/news/Free-Microsoft-COFEE-Killer-DECAF-Available-for-Download-129732.shtml http://techcrunch.com/2009/12/15/decaf-the-anti-microsoft-cofee-now-available/

Timestomp (Vasilis Sakkas - Perseas Tzimikas)[επεξεργασία]

Το Timestomp είναι ένα εργαλείο που γράφτηκε από τους προγραμματιστές James C.Foster και Vincent Liu και υπάρχει μέσα στο Metasploit Anti-Forensics Framework μαζί με τα Sam Juicer(κρατάει τα hash από το SAM (Security Account Manager) χωρίς να ακουμπάει το δίσκο) και Slacker(κρύβει τα ίχνοι-αρχεία από μια επίθεση hacking μαζί με άλλα αρχεία μέσα στον δίσκο). Ο στόχος του εργαλείου αυτού είναι να τροποποιεί ή να καταστρέφει τις πληροφορίες Timestamps (ημερομηνία και ώρα) των αρχείων ώστε να κάνει τη δουλειά ενός αναλυτή δύσκολη ή ακόμα και αδύνατη. Η χρήση των timestamps είναι πολύ σημαντική για έναν αναλυτή αφού κρατάνε πληροφορίες για το πότε ένα αρχείο τροποποιήθηκε. Από αυτές τις πληροφορίες ένας αναλυτής μπορεί να καταλάβει ακόμα και τη συμπεριφορά ενός hacker, τους στόχους του ή/και τα κίνητρα που μπορεί να είχε. Αν ένας αναλυτής βρει κάποιο ύποπτο αρχείο τότε θα ψάξει και άλλα αρχεία που έχουν τις ίδιες πληροφορίες Timestamps. Το Timestomp είναι ένα εργαλείο που φτιάχτηκε για να μπερδεύει τους αναλυτές που ψάχνουν για ίχνη μετά από μια επίθεση hacking. Το Timestomp επιτρέπει σε έναν hacker να μπορεί να σβήσει ή να τροποποιήσει όπως αυτός επιθυμεί και τις τέσσερις timestamp τιμές ενός New Technology File System (NTFS): (M,A,C,E) Modified (τροποποίηση αρχείου), Accessed (τελευταία πρόσβαση στο αρχείο), Created (ημερομηνία δημιουργίας) and Entry Modified (πότε έγινε η τελευταία καταχώριση).

Το Timestomp χρησιμοποιεί τα εξής Windows System Calls:

  • NtQueryInformationFile()
  • NtSetInformationFile()

Ένα παράδειγμα:

1) Δημιουργία ενός αρχείου (c:\test.txt)

2) Αλλαγή των τιμών Timestamps χρησιμοποιώντας τις εντολές

  • timestomp.exe c:\test.txt -z "Saturday 10/08/2005 2:02:02 PM"
  • timestomp.exe c:\test.txt -a "Saturday 10/08/2005 2:02:02 PM"

3) Μετακίνηση του αρχείου σε διαφορετικό φάκελο πχ (c:\argument\test.txt)

  • Οι τιμές $STANDARD_INFORMATION αντιγράφονται στις τιμές $FN_MACE (FN=FileName)

4) Ανανέωση των Τimestamps τιμών Αccessed και Μodified στο $STANDARD_INFORMATION με τη χρήσει των εντολών:

  • timestomp.exe c:\argument\test.txt -m "Saturday 10/08/2005 2:02:02 PM"
  • timestomp.exe c:\argument\test.txt -a "Saturday 10/08/2005 2:02:02 PM"

Η παρουσίαση στο BlackHat: PDF

Πηγές:







SWATd Project(Χρηστάκης Κωνσταντίνος - Τσίπας Σπύρος)[επεξεργασία]

Σε μια εποχή που είναι ολοένα και περισσότερα από τα προσωπικά μας δεδομένα καταλήγουν online, είτε για δική μας διευκόλυνση είτε επειδή είναι υποχρεωτικό από κάποιους φορείς, η προστασία αυτών των δεδομένων κρίνεται απαραίτητη. Μερικές φορές όμως, η απλή προστασία δεν είναι αρκετή. Έπειτα από επίκαιρα περιστατικά κυβερνητικών φορέων να παραβιάζουν τα προσωπικά δεδομένα πολίτων, ισχυριζόμενα βέβαια ότι όλα γίνονται στο πλαίσιο γενικότερης ερευνάς για την διασφάλιση της προστασίας τους, σιγά σιγά αρχίζει να κρίνεται απαραίτητο να λαμβάνονται πιο ακραία μετρά ασφάλειας.

Εδώ εισάγονται τα anti-forensic tools, που με μια σύντομη σύνοψη, είναι εργαλεία που εμποδίζουν την ανάκτηση δεδομένων με οποιοδήποτε τρόπο από μια συσκευή, είτε αυτό επιτυγχάνεται με αποκρυπτογράφηση των δεδομένων αυτών, είτε με κάποιο άλλο τρόπο. Ακόμα και αυτά τα εργαλεία όμως δεν είναι πολλές φορές αρκετά, γιατί τα περισσότερα απαιτούν δια δράση χρήστη - συσκευής, είτε παρέχουν προγραμματισμένες λειτουργείες που εκτελούνται ανά τακτά χρονικά διαστήματα, που και πάλι όμως αποκλείουν ξαφνικά συμβάντα όπως μια διάρρηξη. Εδώ έρχεται το project SWATd.

Η ιδέα πίσω από το SWATd είναι η εξής. Χρησιμοποιώντας απλό κώδικα, προγραμματίζεις διάφορους σένσορες. Για παράδειγμα το να είσαι συνδεδεμένος στο Ethernet καλώδιο της οικίας σου. Ο συγκεκριμένος σένσορας θεωρείται ότι απενεργοποιείται όταν το καλώδιο αποσυνδέεται από τη συσκευή που το έχεις συνδέσει. Το ίδιο μπορεί να ισχύσει και με ένα δίκτυο Wi-Fi. Ο σένσορας είναι ανοιχτός όταν βρίσκεσαι στο οικιακό σου δίκτυο, όταν όμως αποσυνδεθείς θεωρείται κλειστός. Η διαφορά μεταξύ ανοιχτού και κλειστού σύνορα αντιλαμβάνεται από το Swat μέσω ορισμένων scripts, τα οποία εκτελούνται αυτόματα όταν γίνονται κάποιες καταστάσεις στην συσκευή, όπως αυτές που αναφέρθηκαν παραπάνω. Στη συνέχεια είναι στα χεριά του χρήστη το τι μπορεί να κάνει μόλις η κατάσταση ενός σένσορα μεταβεί από ανοιχτός σε κλειστός. Μέσω του λογισμικού του SWATd μπορεί να προγραμματίσει να συμβούν ορισμένες ενέργειες, όπως μια σύντομη αποκρυπτογράφηση αρχείων μέσω τρίτου προγράμματος, η και ολική διαγραφή δεδομένων από κάποια μονάδα αποθήκευσης.

Ωστόσο, το SWATd δεν θεωρείται παντού αξιόπιστο. Στις ΗΠΑ θεωρείται ως κακόβουλο λογισμικό και η χρήση του διώκεται νομικά έως και με ποινή φυλάκισης! Επιπλέον, όπως και όλα, έχει και αυτό τα αδύνατα σημεία του. Κάποιος με αρκετή εμπειρία στο χώρο των forensic tools μπορεί να χρησιμοποιήσει άλλες μεθόδους για να αποκτήσει τα encryption keys του ιδίου του SWATd, πριν αντιληφθεί αλλαγή κάποιος από τους σενσορες.

Πηγες: https://github.com/defuse/swatd https://thetinhat.com/blog/2015/01/24/get-swatd.html



Evidence Eliminator (Xhika Doriad-Σούρδης Ευάγγελος)[επεξεργασία]

Το Evidence Eliminator είναι ένα πρόγραμμα το όποιο μπορεί να διαγράφει πλήρως αρχεία ή ότι άλλο θέλετε από τον σκληρό δίσκο αλλά κύριος σκοπός του είναι να διαγράψετε όλα τα ίχνη χρήσης από τον υπολογιστή σας και να μην μπορούν να ανακτηθούν. Το πρόγραμμα αυτό πρέπει να το ρυθμιστεί σωστά και πρέπει να γίνει κατανοητό πλήρως ώστε να αποτραπεί η διαγραφεί αρχείων που θα θα θέλατε να κρατήσετε. Υπάρχει βέβαια και το αρχείο βοήθειας στο διαδίκτυο το οποίο είναι πολύ περιεκτικό το οποίο μπορεί να σας βοηθήσει να αποφύγετε λάθη στην χρήση του προγράμματος και επίσης μπορεί να σας βοηθήσει να μάθετε μερικά ενδιαφέροντα χαρακτηριστικά της εσωτερικής λειτουργίας του υπολογιστή σας. Διαγράφει προσωρινά αρχεία, cookies, το ιστορικό καθώς και πολλά άλλα. Μπορείτε επίσης να ορίσετε αυτή την εφαρμογή για να καθαρίσει το σύστημά σας, κάθε φορά που θα κλείσει ο υπολογιστής. Evidence Eliminator θα εξαλείψει κάθε cache που συσσωρεύτηκαν από την περιήγηση στο Διαδίκτυο. Ένα πλεονέκτημα είναι ότι μπορεί να χρησιμοποιηθεί σαν ένα κουμπί πανικού για να διαγράψετε όλα τα ίχνη σας υπολογιστή. Η διαδικασία διαγραφής με το Evidence Eliminator λένε ότι χρησιμοποιεί πρότυπα παρόμοια με τον στρατό των ΗΠΑ . Επιπλέον θα διαγράψει το 100% των προσωρινών αρχείων που δημιουργούνται από το πρόγραμμα περιήγησης χωρίς να αφήνει κανένα σημάδι τους. Το πρόγραμμα θα σας ρωτήσει πάντα εκ των προτέρων τι θέλετε να διαγράψετε ή όχι. Το πρόγραμμα αυτό τρέχει σε Microsoft Windows λειτουργικό σύστημα και δημιουργήθηκε από την Robin Hood Software που είχε βάση στο Νοττίγχαμ, Αγγλία.



Attention Deficit Disorder (ADD) (Γρίβος Νικόλαος - Χατζηιορδάνου Γεώργιος)[επεξεργασία]

Το Attention Deficit Disorder (ADD) είναι ένα anti-forensic εργαλείο αντι-ανάλυσης της φυσικής μνήμης το οποίο σχεδιάστηκε για να μολύνει την μνήμη με ψευδή αποδεικτικά στοιχεία. Το εργαλείο αυτό δημιουργήθηκε από τους Jake Williams, ερευνητής forensics, επαγγελματίας hacker και την Alissa Torres, εκπαιδεύτρια στην εταιρεία SANS και πρώην πεζοναύτης. Παρουσιάστηκε για πρώτη φορά στο συνέδριο hacking "Shmoocon" το 2014. Αξιοσημείωτο επίσης είναι το πως το Attention Deficit Disorder (ADD) λειτουργεί μόνο στα Windows 7 SP1 x86 και το εργαλείο είναι προς ανάπτυξη ακόμα και σήμερα.

Γενικότερα, υπάρχουν 2 κύριες τεχνικές anti-forensics.
1) Αποτροπή της ανάλυσης εξ' αρχής.
2) Τοποθέτηση αποδεικτικών στοιχείων με απώτερο σκοπό την παραπλάνηση και την σύγχυση της έρευνας.
Το Attention Deficit Disorder (ADD) προφανώς χρησιμοποιεί την 2η τεχνική.

Πληροφοριακά, τα αποδεικτικά στοιχεία που φαίνονται στη μνήμη και που εκμεταλλεύεται το ADD είναι τα εξής:

  • Εκτέλεση διεργασιών και υπηρεσιών
  • Αποκρυπτογραφημένα εκτελέσιμα αρχεία
  • Memory-only Chat και P2P προγράμματα
  • Επικοινωνία διαδικτύου και Ports
  • Κλειδιά κρυπτογράφησης και κωδικούς
  • Προσωπική (private) περιήγηση ιστορικού
  • Αποδεικτικά RootKits
  • Registry Keys

Συγκεκριμένα, το Attention Deficit Disorder (ADD) εξαναγκάζει αντικείμενα του λειτουργικού συστήματος στην μνήμη. Παραπλανεί έρευνες forensics στον εντοπισμό των διεργασιών, στη σάρωση σε λίστες κατανεμημένων διεργασιών, στην ανάλυση των DLLs, στο σκανάρισμα των Kernel Objects και στην επιθεώρηση διασύνδεσης δικτύου σε UDPa, TCPl και TCPe tags. Επίσης στην αναγνώριση και ανάλυση pointers σε επιλεκτικά τμήματα μνήμης.

Οι κυριότερες λειτουργίες του εργαλείου είναι:

  • Στον εντοπισμό κακών διεργασιών. Πχ έστω ότι βρίσκονται οι παρακάτω διεργασίες

- 312daca.exe
- wincom32.exe
Παραπέμπει τους ερευνητές σε περαιτέρω έρευνα malware αρχείων.

  • Στην ανάλυση διεργασιών και DLLs. Το ADD δεν παραποιεί DLLs ακόμα. Παρόλα αυτά δημιουργεί ψεύτικα αρχεία. Πχ έστω ότι βρίσκονται τα παρακάτω αρχεία

- \windows\system32\mfc42ul.dll
- \windows\system32\winsys32.sys

  • Στην επιθεώρηση διασυνδέσεων δικτύου. Μπορεί να δημιουργήσει ψεύτικες TCP συνδέσεις σε οποιαδήποτε IP διεύθυνση και οποιαδήποτε port.
  • Στον έλεγχο για πιθανά σημάδια RootKit. Το ADD δημιουργεί ψεύτικες διεργασίες και αρχεία που οδεύουν σε ονόματα γνωστών

RootKit drivers πχ
- msdirectx.sys
- mrxnet.sys

  • Στην αποβολή (dumping) ύποπτων διεργασιών. Ψεύτικες διεργασίες και drivers παραγόμενα από το ADD δεν μπορούν να αποβληθούν συγχύζοντας τους ερευνητές!

Εν τέλη, σε έναν ιδανικό κόσμο καλό θα ήταν να μην υπήρχαν εργαλεία anti-forensics.Αλλά ο πραγματικός κόσμος είναι λιγότερο ιδανικός. Οι ερευνητές στον τομέα των forensics χρειάζονται όλο και περισσότερη και πιο εξειδικευμένη εκπαίδευση ώστε να μην εξαπατώνται από εργαλεία anti-forensics.


Πηγές : 1) https://code.google.com/p/attention-deficit-disorder/ 2) http://www.mediafire.com/view/h7bmcscbtyaeb6r/ADD_Shmoocon.pdf


TRACKS ERASER PRO (ΧΑΣΙΩΤΗ ΜΑΡΙΑ)[επεξεργασία]

Ένα εργαλείο anti forensic είναι το tracks eraser pro . Το tracks eraser pro είναι ένα πρόγραμμα προστασίας το οποίο διαγράφει τις δραστηριότητες από τη χρήση του Διαδικτύου ακόμα και από τον υπολογιστή. Δηλαδή, επιτρέπει τη διαγραφή κατάλοιπων των εφαρμογών καθώς επίσης και της μνήμης από το πρόγραμμα περιήγησής επειδή το πρόγραμμα αποθηκεύει τις ιστοσελίδες μαζί με τις εικόνες τους, το πρόγραμμα κάνει τη διαγραφή ελευθερώνοντας έτσι πολύ χώρο στο δίσκο που χρησιμοποιείται από τη μνήμη cache και από τους φάκελους των windows temp, από τα cookies,από την ιστορία αναζήτησης και από τα πρόσφατα έγγραφα. Τα πρόγραμμα περιήγησης στα οποία λειτουργεί είναι το Chrome, Safari, Opera, FireFox και το Internet Explorer. Επιπλέον, με την προσαρμοσμένη διαγραφή στοιχείων μπορεί να προστατεύσει την homepage από τις ιστοσελίδας να την αλλάξουν, δηλαδή να αλλάξουν το Boss Key. Μια ακόμη χρήση του είναι ο καθαρισμός του ελεύθερου χώρου του σκληρού δίσκου αντικαθιστώντας κάθε bytes του ελεύθερου χώρου με κενό χαρακτήρες. Με αυτό τον τρόπο τα διαγραμμένα δεδομένα δεν μπορούν να εμφανιστούν ξανά. Η διαγραφή μπορεί να ξεκινήσει σ την εκκίνηση των Windows ή στον τερματισμό ή ακόμα και στο κλείσιμο του προγράμματος περιήγησης ή ακόμη και σε ένα καθορισμένο χρονικό διάστημα που θέλει κάποιος να επιλέξει. Μπορεί να τρέξει στο παρασκήνιο και κανείς εκτός από αυτόν που θα το τρέξει μπορεί να γνωρίζει ότι λειτουργεί. Με αυτόν τον τρόπο προστατεύεται και η ιδιωτικής ζωή. Επιπλέον υπάρχει και η λειτουργία δοκιμής, δηλαδή μπορείτε να δείτε τι είδους ιστορία θα διαγραφή πριν από την πραγματική διαγραφή. Επιπρόσθετα, ο χρήστης μπορεί να ειδοποιείτε κάθε φορά που μια νέα έκδοση ή νέα πρόσθετα τα όποια θα είναι διαθέσιμα για κατέβασμα, μπορεί να τα συμπεριλάβει άμεσα στο πρόγραμμα καθώς και για νέες αλλαγές . Λειτουργεί στα Windows NT, Windows 95, Windows 98, Windows ME, Windows Vista, Windows XP, Windows 7, Windows 8 λειτουργικό σύστημα.

http://ccm.net/download/download-11851-tracks-eraser-pro http://privacy-software-review.toptenreviews.com/tracks-eraser-pro-review.html http://www.majorgeeks.com/files/details/tracks_eraser_pro.html

DECLASFY (Ανδρεάδης Ιωάννης-Νικολάου Γεώργιος)[επεξεργασία]

Το Declasfy έχει σχεδιαστεί για να ανταποκριθεί στο Υπουργείο Άμυνας των προτύπων της σειράς ουράνιο τόξο, σχετικά με τον αποχαρακτηρισμό των σκληρών δίσκων, και τον καθαρισμό των δισκετών.Το Declasfy γράφει ολόκληρο το δίσκο με το εξάγωνο 0s, τότε 1s (0xff) όσες φορές επιθυμεί ο χρήστης,τότε τυχαίοι χαρακτήρες ή σύμβολα. DOD πρότυπα καθορίζουν το παρόν τουλάχιστον 5 διαγραφές.Το Declasfy διαθέτει προεπιλογές για να αντικαταστήσει 3 κάθε φορά, γι 'αυτό θα πρέπει να καθοδηγήται να τρέξει δύο φορές για να καλύψει τα τρέχων DOD πρότυπα.Τελειώνει τη δουλειά του σκουπίσματος εντελώς, βρίσκοντας τους τομείς στη μονάδα δίσκου που πολλά άλλα προγράμματα μπορεί να μην έχουν αναφερθεί. Χρησιμοποιεί διευθυνσιοδότηση LBA όποτε αυτό είναι δυνατό να αναζητεί αυτούς τους τομείς. Με κινήσεις LBA, συχνά υπάρχουν επιπλέον τομείς (από 1 έως μερικές χιλιάδες) στη μονάδα δίσκου μετά τη διαδικασία διαμόρφωσης. Αυτοί οι επιπλέον τομείς θα μπορούσαν να περιέχουν πληροφορίες που το Declasfy βρίσκει και καθαρίζει.

Πολλές φορές το πρόγραμμα μας εμφανίζει κάποια μηνύματα λάθους όταν ο υπολογιστής στηρίζεται σε windows.Αυτά τα μηνύματα τύπου EXE μπορεί να εμφανιστούν κατά την εγκατάσταση του προγράμματος, ενώ το DECLASFY.EXE που σχετίζονται με το πρόγραμμα λογισμικού βρίσκεται σε λειτουργία, κατά τη διάρκεια της εκκίνησης των Windows ή τερματισμού, ή ακόμη και κατά τη διάρκεια της εγκατάστασης του λειτουργικού συστήματος των Windows . Η παρακολούθηση του όταν και όπου συμβαίνει το σφάλμα DECLASFY.EXE είναι ένα κρίσιμο κομμάτι των πληροφοριών στην αντιμετώπιση του προβλήματος.

  1. https://en.wikipedia.org/wiki/Computer_Online_Forensic_Evidence_Extractor#DECAF
  2. https://el.wikipedia.org/wiki/Microsoft
  3. https://el.wikipedia.org/wiki/USB
  4. https://en.wikipedia.org/wiki/MAC_address
  5. https://en.wikipedia.org/wiki/CD-ROM