暗网潜航——电脑鉴识术──冷彻心扉
庞博文
2020-07-27 18:31 HKT
字体大小
电脑鉴识术就像一场攻防战,除了之前提过取证与反鍳识外,原来「冻结」(Frozen)在业内也是非常独特的取证技巧之一。电脑鉴识术有两种冻结技巧,第一种是把「时间戳记」(Timestamps)保存。由于机器每一次存储数据时,时间戳记都会变动,取证时无法保存证据完整时间序列及连贯性。
电子取证工具必具「写入阻止程序」(WriteBlocker)功能,把证物机器的数据进行「时间戳记冻结」(Freezing Timestamps),再配合独特的硬件和断电技巧,同时冻结运行中数据及其时间戳记,保存作为将来证据之用。第二种冻结技巧更神奇,是用来盗取加密金匙的,叫做「冷启动攻击」(Cold Boot Attack)。基于能量逐渐衰减的物理法则,电脑DRAM和SRAM记忆体上的数据,都会在电力渐减而消失,即使断电后数分钟,记忆体仍有一些资料残留,而且不管使用任何加密法,所有加密金匙在能量完全衰减前,都必会储存在记忆体上。
不管笔记本电脑或是手机,就算你登出及关机,只要电力未完全衰减,就可以进行冷启动攻击,从记忆体中把加密金匙复制到手。
冷启动攻击最早出现在2006年研究论文,两年后普林斯顿大学研究证实有关概念,并作出两种不同示范。一种使用USB连接电脑,在资料残留数分钟内,直接把加密金匙复制;另一种是直接用冷冻剂对记忆体物理冷冻,成功延长资料残留时间。2013年,德国Erlangen大学研究员利用冰箱,把三星Galaxy手机冷冻在摄氏15度下,从记忆体中截获加密金匙。这特殊的取证技巧,一直都是我们惯常采用秘技之一,若看见我们携带小型冰箱或冷冻剂工作,请不要惊讶。
TOZ联合创办人
庞博文
电子取证工具必具「写入阻止程序」(WriteBlocker)功能,把证物机器的数据进行「时间戳记冻结」(Freezing Timestamps),再配合独特的硬件和断电技巧,同时冻结运行中数据及其时间戳记,保存作为将来证据之用。第二种冻结技巧更神奇,是用来盗取加密金匙的,叫做「冷启动攻击」(Cold Boot Attack)。基于能量逐渐衰减的物理法则,电脑DRAM和SRAM记忆体上的数据,都会在电力渐减而消失,即使断电后数分钟,记忆体仍有一些资料残留,而且不管使用任何加密法,所有加密金匙在能量完全衰减前,都必会储存在记忆体上。
不管笔记本电脑或是手机,就算你登出及关机,只要电力未完全衰减,就可以进行冷启动攻击,从记忆体中把加密金匙复制到手。
冷启动攻击最早出现在2006年研究论文,两年后普林斯顿大学研究证实有关概念,并作出两种不同示范。一种使用USB连接电脑,在资料残留数分钟内,直接把加密金匙复制;另一种是直接用冷冻剂对记忆体物理冷冻,成功延长资料残留时间。2013年,德国Erlangen大学研究员利用冰箱,把三星Galaxy手机冷冻在摄氏15度下,从记忆体中截获加密金匙。这特殊的取证技巧,一直都是我们惯常采用秘技之一,若看见我们携带小型冰箱或冷冻剂工作,请不要惊讶。
TOZ联合创办人
庞博文
更多文章