数据隐藏 MSE安全攻防培训资料

1 数据隐藏 wangdayong 2 背景 在安全事件分析过程中 遇到的最具挑战性的问题之一就是数据被对方有意地隐藏起来一定要总是假设检查的系统里可能含有隐藏数据前面我们曾讨论过加密技术 但加密并不是数据隐藏的唯一技术 3 数据隐藏技术 通过加密实现数据隐藏非常简单 以至于很多人根本没意识到自己对数据进行了加密大多数软件如office都内置了口令保护功能 可以看作是最简单的加密方式 4 5 6 微软Word中的加密选项 使用16进制编辑器 发现加密后的word文件不可阅读 7 微软Word中的加密选项 总是假设目标计算机word开启了自动备份功能自动备份功能 会自动创建word文档的副本副本以 wbk扩展名结尾副本是不受密码保护的 以纯文本的形式存储 8 获得密码 使用工具获得用户口令的难度因不同平台而异例如 微软的Windows9X就习惯将密码已明文的形式进行存储我们可以使用像Cain这样的工具来获得windows系统缓存的拨号帐户 电子邮件帐户 网页和MSN中的明文密码 9 Cain 擅长从缓冲中获得口令同时具有快速口令字典测试功能暴力破解效果较好能够自动发现 pwl或 dat文件中的口令 10 AccessData 针对Word WordPerfect Excel以及许多应用程序 效果都非常好具有分布式网络攻击程序 DNA 在多台PC上同时运行 同时进行密码破解 缩短暴力破解的时间只利用其它客户机的空余资源 不影响其它计算机的正常运行只有主计算机能打开破解的文档 不必担心其他客户机内容泄露 11 AccessData在Intel200MHz上运行破解耗时 12 LostP 提供针对流行应用程序的破解软件 包括 office wordperfect Outlook Quicken私人使用免费提供针对IE的工具 能够复位IE中成人健康顾问的超级用户密码 13 14 破解WindowsNT 2000帐户 密码存放在安全帐户管理器中 SAM 无论在本地 还是在服务器上都很容易破解推荐使用 stake的L0phtCrack 15 L0phtCrack 利用windows密码哈希运算弱点 很快便可以破解出大多数密码图形用户界面提供口令嗅探器 可以从网络登陆会话中捕获密码的哈希值命令行版本可以免费使用 16 破解WindowsNT密码 重启嫌疑人的计算机到DOS状态下使用NTFSDOS工具 拷贝出SAMSAM是注册表的一部分 可在 winnt system32 config下找到它在分析系统上对SAM运行L0phtCrackL0phtCrack会将破解的结果显示在客户界面上 17 ntpassword 一个启动软盘镜像通过它启动系统并可以修改任意密码及注册表里的值该工具可能严重破坏NT操作系统文件 目标系统不能再用作证据http home eunet no pnordahl ntpasswd 18 19 破解WinZip加密文件 AZPR 俄罗斯高级ZIP口令恢复公司开发在PII处理器速度下 每秒可搜索2 000 000个口令支持多种语言 避免嫌疑人使用我们不熟悉的语种进行加密 20 21 ZipPassword 针对ZIP加密文件的破解工具使用简单 速度快每分钟可以破解1000000000种密码破解速度与预先配置有很大关系 22 隐藏和发现数据 简单隐藏可以通过修改文件扩展名实现缺乏经验的管理员可能不会认为一个 jpeg结尾的图片文件会是一个word文档使用基于内容辨别文件类型的浏览器可以解决这个问题QuickViewPlus或Encase可以找出不匹配扩展名文件的真实类型 23 使用windows搜索功能 windows搜索功能不靠扩展名区分文件类型搜索关键字 test 很可能搜索出一些图片文件 24 检查文件头 文件头部通常包含一个16进制值 表明文件类型Wotsit sFormat给出了大量的文件格式详细信息http www wotsit org 25 26 针对Unix 嫌疑人故意以 开头命名文件 使文件不显眼然后将它放入以一个点或多个点开头的目录中 或放入系统目录下 使得文件不易被发现 27 NT文件流 WindowsNT操作系统允许将任意数据附加在一个文件上 使该数据在一般的系统工具或程序中变为不可见文件流是NTFS下的一种机制 它允许将新的数据对象同一个文件关联或连接文件流最早1998年被提出文件流可用于隐藏数据 28 实验 NT文件流 一 创建用于附加信息的文件 C mdtestC cdtestC test echo Thisfilewillhavehiddendataattached file txt 29 实验 NT文件流 二 将一份数据附加到这个文件上 文件流命名为 sneak文件流语法 文件名称 文件流名称C test dirc winnt file txt sneak 30 实验 NT文件流 三 甚至可以将数据隐藏到没有命名的文件流中C test echo Thisisatest test 31 实验 NT文件流 四 现在用dir来查看我们刚才对数据操作的结果无法看到文件流的存在附加文件流的file txt文件大小也没有变化输入命令 c test more file txt sneak看到了被隐藏的数据了吗 32 实验 NT文件流 五 可执行文件也可以隐藏在文件流中 同样也可以在文件流中执行c test typec winnt notepad exe file txt np exec test dir观察附加了可执行文件后 file txt是否有变化 33 实验 NT文件流 六 运行附加在file txt文件流中的可执行文件c test startfile txt np exe看到了什么 34 讨论 利用文件流 利用在文件流中可附加文件的特性 我们还可以做些什么 35 别忘了网络 有些攻击者非常聪明 他们将对自己不利的服务器放置到服务器或他人的计算机上黑客一般会利用免费网上存储系统保存数据彻底检查目标计算机 一些线索会将你带到一个远端的存储站点 同时检查局域网内其他的计算机 36 隐写术 伪装夹带技术使数据不可见 同时可能会对数据进行加密参考工具 Steganos 免费软件 37 S