形形色色的反侦查技术.pptx

1、反黑风暴 黑客社会工程学攻防演练,形形色色的反侦查技术,数据隐藏与伪装 数据窃取的方式 不同的信息隐写技术 数据加密与擦除,网络中只留下一个影子,通过代理服务器隐藏IP地址 通过系统自带的VPN隐藏IP地址 修改注册表隐藏IP 使用跳板隐藏IP地址,数据隐藏与伪装,COPY合并与WinRAR伪装 利用专用文件夹隐藏文件 利用文件属性隐藏文件 利用Desktop.ini特性隐藏文件 通过修改注册表值隐藏文件 Rootkit技术隐藏,利用Desktop.ini特性隐藏文件,1将文件夹变成透明 2将文件夹伪装成系统文件,将文件夹变成透明,具体操作步骤如下： 步骤 01在桌面上新建一个文件夹，并对其进

2、行重命名操作，按下【Alt+0160】组合键后，再按下【Enter】键，即可使文件名变成透明的，如图11-49所示。 步骤 02在该文件夹上右键单击，在弹出的快捷菜单中选择【属性】菜单项，即可打开【属性】对话框。切换到【自定义】选项卡并单击【更改图标】按钮，如图11-50所示。 步骤 03在弹出的对话框中的“从以下列表选择一个图标”列表框中选择空白的图标，如图11-51所示。,将文件夹变成透明,具体操作步骤如下： 步骤 04单击【确定】按钮，即可发现桌面上的文件夹不见了，其实该文件夹此时处于透明状态，仍然存在。此时，按下F5键或是用鼠标在桌面上拉出选框，即可发现隐藏的文件夹。双击该文件夹，即可

3、在打开的窗口中看到一个Desktop.ini文件，如图11-52所示。 步骤 05双击Desktop.ini文件，用记事本打开后，可看到该文件的内容，其中“IconFile”和“IconIndex”分别是指向图标文件及索引的设置，如图11-53所示。,不同的信息隐写技术,QR密文信息隐写 BMP与GIF图片信息隐写 ext、HTM、PDF文件信息隐写 在线JPEG与PNG图片信息隐写,数据加密与擦除,EXE文件的加密 EFS加密文件系统 专业的文件夹加密工具 网页加密工具 逻辑型文件擦除技术,网页加密工具,下面介绍使用Encrypt HTML Pro V3.00工具加密网页的具体操作步骤。 步

4、骤 01安装并运行Encrypt HTML Pro V3.00，进入Encrypt HTML Pro V3.00软件的主界面中，如图11-130所示。 步骤 02单击【Next（下一步）】按钮，进入【Step1（步骤1）】窗口。要加密网站，需选中“Protect web Files（保护网站文件）”选项，如图11-131所示。单击【添加文件夹】按钮 ，即可打开【Add Folder（添加文件夹）】对话框，如图11-132所示。,网页加密工具,下面介绍使用Encrypt HTML Pro V3.00工具加密网页的具体操作步骤。 步骤 03设置要加密的网站。在【Add Folder（添加文件夹）】

5、对话框中单击【Browse】按钮，即可打开【浏览文件夹】对话框，在其中选择需要加密的网站文件，如图11-133所示。 步骤 04单击【确定】按钮，返回【Add Folder（添加文件夹）】对话框中，即可看到添加的文件夹，如图11-134所示。单击【OK】按钮，即可在【Step1（步骤1）】窗口中看到该文件夹中包含的所有的网页文件，如图11-135所示。,网页加密工具,下面介绍使用Encrypt HTML Pro V3.00工具加密网页的具体操作步骤。 步骤 05单击【Next（下一步）】按钮，进入【Step2（步骤2）】窗口，在其中设置各个加密属性，如图11-136所示。单击【Next（下一步

6、）】按钮，即可进入【Step3（步骤3）】窗口，在其中勾选相应的复选框，如图11-137所示。,网页加密工具,下面介绍使用Encrypt HTML Pro V3.00工具加密网页的具体操作步骤。 步骤 06单击【Next（下一步）】按钮，即可进入【Step4（步骤4）】窗口，在其中设置各个加密属性，如图11-138所示。单击【Next（下一步）】按钮，即可进入【Last Step（最后一步）】窗口，如图11-139所示。 步骤 07单击【Protect（保护）】按钮，即可打开【Encrypt HTML Pro trial version（Encrypt HTML Pro版本信息）】提示框，如图

7、11-140所示。,网页加密工具,下面介绍使用Encrypt HTML Pro V3.00工具加密网页的具体操作步骤。 步骤 08单击【Register later（以后注册）】按钮，即可打开【Information（信息）】提示框。此时，即可在【消息】提示框中看到对选定文件夹中网页加密的结果，如图11-141所示。 步骤 09单击【OK】按钮即可在【Last Step（最后一步）】窗口中看到已经被加密的网页文件，如图11-142所示。,数据反取证信息对抗,主机数据信息核查1CMD命令信息核查2法证工具信息核查 击溃数字证据1软件反监控与自我销毁2硬件反监控与自我销毁,专家课堂（常见问题与解答

8、）,（1）利用FinalData等软件能恢复一些以前删除的文件，进而窃取文件。若希望某些文件删除后就不再恢复，该如何彻底删除这些文件呢？ 解答：在文件被彻底删除之后，其实在硬盘上并没有删除，只是将存放这个文件的硬盘磁道标记出来，等待其他新文件的覆盖。这也是为何删除文件后，FinalData之类软件能够恢复的原因所在。知道了这个原理，只要往删除文件的地方添加一些新文件，把原来的文件覆盖，则恢复软件就无能为力了。 另外，还可以使用一些数据毁灭软件达到彻底删除的效果，例如SafeEarse。 （2）EFS加密功能默认是开启的，若要禁用EFS文件加密，应该如何操作呢？ 解答：如果要禁止该功能，可以先打开【注册表编辑器】窗口，在其左侧列表中找到HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionEFS，在下面新建一个EfsConfiguration的DWORD类型数值，并将其值设置为“1”（值为“0”时，表示启用EFS），再重新启动计算机即可。需要注意的是，如果禁用了EFS，原先的EFS加密文件不可访问，直到恢复EFS为止。,本章结束,谢谢观赏,