网络安全-信息销毁

背景

作为一个安全工作人员,基本的信息隐藏、销毁手段是需要知道。本文建立于近期阅读的《黑客社会工程学攻击档案袋》时,所记录的简要笔记,内容来源于第7章《反侦察技术的对抗》,单独拎出来是觉得文中所述手法对于自己过往之做法完全就是做了一个非常完备的总结。

IP隐藏

背景

为什么需要隐藏IP?这是因为在有背景的情况下访问网络是完全可以通过IP追踪到我们是谁,在干什么的,所以当我们需要进行一些科学性实验的时候,很有可能就会因为失败留下的足迹而被对方追查,为了避免不必要的麻烦就有了IP隐藏的概念。IP隐藏有很多种方法:代理VPNTor跳板等,但原理都很简单,就是加密+代理访问

代理

  • 原理

    代理就是将自己访问网络的请求发送给互联网上的另一台机器,然后通过该机器将数据包发送出去,此时在整个互联网中,我们访问网络的身份就完全是互联网中的另一台机器,此时对方追查真实发送机就会比较麻烦。介于这样的原理,还可以设置多个中间代理机器,最好是构建环绕地球一周的那种代理链,那基本被查到的概率就低的可怜了

  • 搭建

    在自己有机器的情况下,可以查看Kali-科学上网解决方案中的L2TP服务端内容,当然也推荐直接阅读:https://github.com/hwdsl2/setup-ipsec-vpn/blob/master/README-zh.md

    如果没有机器,那么推荐一些免费代理的网站,我觉得这种也是最好的,如下:

    搭建好后查询一下自己的IP信息,如下:

    image-20210209215051065

  • 弊端

    使用代理时,会将所有流向互联网的数据包全部发送到代理服务器上,如果代理服务器上设置了监听、拦截,则就存在数据泄露的危险,不过免费的看着挺香的。

其他

VPNTor这些都可以,但是最好途径多个国家,这样就有了安全性,此外还有一个就是跳板,跳板是指借助肉鸡访问互联网,这个还没实践尝试过

数据隐藏

背景

传统的建立多级文件夹的方式来存放隐私数据的方式,在地毯式搜索的情况下基本是凉凉的节奏,关于这个,可以去看看工具everything,基本全电脑搜索无时差的,因此此处介绍一些藏数据的方法,属于障眼法系列

内容

  • 文件合并

    1
    2
    3
    # 直接利用copy将隐私文件和其他文件绑定在一起
    # 切记是先b后a,否则生成的图片无法打开
    copy 图片.jpg /b + 记事本.txt /a 新图片的.jpg

    image-20210210000711274

  • 文件夹:设置为透明

    在桌面新建一个文件夹,然后重命名时,按住按键ALT,输入0160,确认,之后按照如下方式操作:

    image-20210210001853552

  • 文件夹:显示为图像类型文件

    新建文件夹,命名为:bmp.{d3e34b21-9d75-101a-8c3d-00aa001a1652},然后它就变成了一个图片标识的图标,不过本质还是文件夹:

    image-20210210002715020

总结

3种方式都类似于通过障眼法的方式蒙蔽需要寻找这些数据的人,一旦对方意识到了以后,则这些数据就很容易被发现,并读取

数据隐写

背景

相比较数据隐藏的方式,如何将数据直接通过别的方式保存起来才是比较安全的方式

NTFS文件流隐藏

使用这种方式隐藏文件,则对应的磁盘必须是NTFS格式的。

1
2
3
4
5
# 将指定的数据信息隐藏到指定的文件中,
echo [message信息] >> :[隐藏文件名]

# 如:
echo 123456 >> :passwd.txt

查看的话,必须进入到隐藏文件所在的目录下,使用指定的程序将其打开:

1
notepad :passwd.txt

然而上面的方式在读取文件内容时并不友好,因此可以将内容隐藏到已存在的文件中:

1
2
3
4
5
# 增加迷惑性
echo 123456 >> 1.jpg:passwd.txt

# 打开的时候还是需要使用指定的程序打开流文件
notepad 1.jpg:passwd.txt

image-20210210005840971

同样的招数还可以隐藏已存在的文件,只不过需要借助type命令,通过这样的方式隐藏的文件在用户正常打开时,其显示的是外表文件的内容,只有通过命令行直接读取时才会显示隐藏的内容。

1
2
3
4
5
# 格式:
type [待隐藏的文件] >> [任意文件][:隐藏文件.后缀名]

# 查看的时候需要使用对应的程序才能打开流文件
notepad 1.jpg:1.txt

image-20210210010440312

如果需要在设备之间进行分享,则需要对该文件进行压缩,压缩工具选择Winrar(我试了7zip,没有保存文件流的选项),压缩的时候需要选择【保存文件流】,然后将压缩文件复制给其它设备就可以了。如下:

image-20210210125428239

但是这样隐藏的文件在文件流读取工具面前就很容易暴露出来,如:AlternateStreamView,对怀疑的文件夹进行扫描就能够获取到信息了,如下:

image-20210210130931037

QR密文隐写

此处的QR密文隐写是将对应的信息生成为一个QR码进行保存,使用的工具是:Psytec QR Code Editor,操作也很简单,如下:

image-20210210140306804

生成完了将文件保存为图片,如果要读取这样的文件信息,则仍然需要使用Psytec QR Code Editor打开该二维码才能够识别其中的中文内容。如果密文都是英文的,则随便用个二维码扫描工具一扫就ok,如果需要制作中文内容的全平台适用的二维码,则推荐使用草料二维码,它也有Android版。

同时还有很多在线生成二维码的网站,如:https://cli.im/

MP3音频文件隐写

MP3格式的文件是通过压缩获得而来的,所以我们可以在创建MP3文件的时候将要加密的文件压缩写入到MP3的比特流中,这样就达到了隐藏隐私文件的目的,只不过能压缩隐私文件的大小受原音频文件的大小所限制,同时原音频文件必须为无损wav格式文件。此处借用的工具为:Mp3stego,使用前需要准备无损的wav文件(可以自己去找首歌下),以及要加密的txt文件。然后如下操作:

1
2
3
4
5
6
# 进入Mp3stego的文件夹下,然后执行如下格式的命令
encode.exe -E [要加密的文件] -P [提取文件时的密码] [wav文件] [输出的mp3文件]

# -E:指定要加密的文件
# -P:指定加密密码
encode.exe -E 1.txt -P password 1.wav out.mp3

如果我们需要提取隐私文件,则如下操作

1
2
3
4
5
# 进入Mp3stego的文件夹下,然后执行如下格式的命令
decode.exe -X -P [密码] [隐写的文件名]

# -X:表示解码
decode.exe -X -P password out.mp3

解压后得到的文件如下:

image-20210210205847800

bmp图像文件隐藏

bmp图像是由一连串的数字排列表示,每一个数字都表示了颜色的强度,在图片中单个像素点的颜色强度本质上不会影响用户视觉上的观看体验。图片的隐写就是利用这个原理,它采用了LSB最低比特位隐藏技术,原理(图片来源于原书籍)如下:

image-20210210225243741

此处借助工具Hide in picture,直接就可以将隐私文件隐藏到已存在的bmp图片文件中,生成的bmp文件大小不会发生大变化,并且bmp文件还能正常显示图片信息,操作如下:

1

如果要提取隐藏的文件,则依旧使用该工具提取,如下:

1

隐藏工具之StegoMagic

StegoMagic实现的功能包括以上记述的隐藏手法,但它同时支持文本文件(txt)、二进制文件(图片音频视频程序)的隐藏,并且可以将任意大小的文件隐藏在受体文件中,其中StegoMagic中分两个工具:StegoMagic_TXT.exe(只能隐藏txt文本文件)、StegoMagic_BIN.exe(可隐藏图片、音频、视频、程序文件),具体操作如下:

双击程序后,依次进行如下操作:

image-20210211002658242

然后原受体文件中就会携带加密文件了,并且文件大小会变大。要从受体文件中提取隐私文件,则还是通过原程序,操作如下:

image-20210211002856026

提取出来后,就可以得到加密文件,如下:

image-20210211003111957

在线图片隐写网站

有时,手头没有可用的工具,这个时候就可以使用一些第三方的在线图片隐写数据的网站,推荐如下:

反汇编信息隐写

原理:通过修改替换.dll文件中指定的信息字段,保持文件大小的不变,从而绕过其他人的耳目。

说明:介于回头想学习反汇编的知识,所以此处暂且跳过,截图一张,以作留恋

image-20210211005832892

加密系统

加密工具主要就是通过各种加密算法实现对目标文件的加密隐藏,还是很友好的。

EFS加密系统

EFS加密系统是Windows自带的针对NTFS数据卷上的文件和数据进行加密的功能,EFS加密是基于公钥策略的,在使用EFS加密一个文件或文件夹时,系统首先会生成一个 由伪随机数组成的FEK (File Encryption Key:文件加密钥匙),然后将利用FEK和数据扩展标 准X算法创建加密后的文件,并把它存储到硬盘上,同时删除未加密的原始文件。随后系统利用公钥加密FEK,并把加密后的FEK存储在同一个加密文件中。而在访问被加密的文件时,系统首先利用当前用户的私钥解密FEK,然后利用FEK解密出文件。在首次使用EFS时,如果用户还没有公钥/私钥对(统称为密钥).则会首先生成密钥,然后加密数据。

具体操作如下:

1

第一次加密文件的时候会提示让导出保存密钥,由于我已经生成了,所以就没有出现提示,但是生成的话也非常的简单,在证书服务下,有个【个人】-->【自己用户名命名的证书】,如下:

1

期间有个设置密码的地方,请切记将这个密码设的复杂一些,然后将生成的私钥文件复制给其他的机器进行安装后,可以打开加密的文档了。

EFS有其优秀的地方,那就是在拥有证书的机器上打开隐私文件就跟没有加密一样,而如果在没有证书的机器上则完全被限制访问,并且EFS加密体系支持NTFS格式硬盘下的所有内容。但是EFS也有其不足之处,那就是当隐私文件从NTFS格式硬盘复制到FAT格式硬盘后,就会失去其加密性;同时当隐私文件需要被读取然后存储的时候,也会失去其加密性,如Onedrive7zip等软件对文件进行操作时。

加密软件

  • Cryptainer LE

    Cryptainer LE是一款免费的加密软件,通过AES-128加密算法进行加密。它通过在本地/外部存储设备划分一个空间用作加密的虚拟磁盘,放置进去的任何文件都会被自动加密存储,如果要访问,就必须使用设置的密码登录Cryptainer LE,关闭后则所有文件都不可访问。

    官网:https://www.cypherix.com/

    image-20210211104003406

  • AxCrypt

    官网:https://axcrypt.net/

    特性:跟Cryptainer LE一样,都是加密软件,但是它集成到资源管理器中,对于需要加密的软件,直接右键–>加密即可

数据销毁

手工擦除

当我们删除、格式化硬盘上某些文件的时候,其实只是在数据的存储区域做了标记,并不是真正的销毁了数据,通过一些其他的技术手段是可以恢复存储区的数据文件的。那么有什么样的方法可以更好的删除文件呢?有,计算机中的一切数据都是以二进制方式存储的,即010101…,我们只要将原数据的二进制内容用00/FF填充,然后再删除,则恢复基本就无望了。

二进制编辑工具使用的是WinHex,官网地址:http://www.x-ways.net/

1

编辑完以后保存,然后删除掉即可。

Secure Ereaser安全擦除工具

原理跟手工的类似,作用就是删除后保证难以恢复,删除方式如下:

image-20210211220554073

硬件损毁

  • 机械硬盘

    将硬盘的强磁针头直接划过硬盘片,然后再划回来,如果愿意的话还可以来回操作,然后磁盘就报废了

  • SIM卡

    SIM卡就是手机卡,由5个模块组成:CPU程序存储器工作存储器数据存储器串行通信单元,其中最重要的是数据存储器,我们可以在插入手机的时候多输入错几次PIN码,这样手机卡就自动锁死而无法被读取数据;也可以使用强磁铁在SIM芯片上绕几圈,那么它也会被报废;或者将电源接到芯片上,让其短路而报废

  • U盘

    U盘的核心设备是FLASH闪存颗粒,可以接25V以上的电压,使得U盘报废,或者将U盘的芯片砸的粉碎。

  • 磁带

    火烧

数据恢复

恢复数据的工具有很多,关于这个可以参考链接:https://www.iplaysoft.com/data-recovery-tools.html

EasyRecovery为例,对于恢复数据,他可是专业的,唯一需要注意的是,在恢复数据的时候必须将恢复的数据写入其他的盘符下,界面如下:

image-20210211231426562

此外,还推荐一个瑞士军刀级别的工具:Recuva,找个免安装绿色版,可以说是非常的实用。

举证和反举证

背景

如何避免攻击失败导致的被举证,文中作者提供了几种方法

反举证

  • 信息泄露

    针对互联网上的信息泄露,那么可以先申请平台管理员删除记录,然后可以注销账户信息,之后去各大搜索引擎平台对泄露的信息进行删减、扭曲、增加。

  • 攻击时设置时间

    在攻击的时候将电脑的时间修改为错误的时间,然后完全性的删除系统日志,这样即便被获取到电脑,也会因为系统时间不在攻击时间内而无举证效力

  • 数据共享

    敏感数据共享,当这样的敏感数据充斥在互联网上的时候,这个时候就不用藏着了,而且自己随手就可以取到。

    建议:庞大数据,如100G以上的建议放在专门的网盘保存机构,小于10G的可以存在免费网盘中。

举证

举证就是通过检索对方电子设备,获取非法行为操作证据的行为,此处推荐工具:X-Ways Forensics,功能挺多的,可以百度,界面如下:

image-20210212130635204