计算机取证分析过程模型.ppt

计算机取证Forensics,基本过程模型(BasicProcessModel)事件响应过程模型(IncidentResponseProcessModel)法律执行过程模型(LawEnforcementProcessModel)过程抽象模型(AnAbstractProcessModel)。,保证安全并进行隔离(secureandisolate)对现场信息进行记录(recordthescene)全面查找证据(conductasystematicsearchforevidence)对证据进行提取和打包(collectandpackageevidence)维护证据监督链(maintainchainofcustody)。,1、攻击预防阶段(Pre-incidentPreparation):事先进行相关培训，并准备好所需的数字取证设备。2、事件侦测阶段(DetectionoftheIncident):识别可疑事件。3、初始响应阶段(InitialResponse):证实攻击事件己经发生，须尽快收集易丢失的证据(volatileevidence).4、响应策略匹配(ResponseStrategyFormulation):依据现有的经验确定响应策略。5、备份(Duplication):产生系统备份。,6、调查(Investigation):调查系统以便识别攻击者身份、攻击手段及攻击过程。7、安全方案实施(SecureMeasureImplementation):对被侦察的系统进行安全隔离。8、网络监控(NetworkMonitoring):监视网络以便识别攻击。9、恢复(Recovery):将系统恢复到初始状态，并合理设置安全设施。10、报告(Reporting):记录相应的步骤及补救的方法。11、补充(Follow-up):对响应过程及方法进行回顾审查，并进行适当的调整。,1、准备阶段(Preparation)在调查前，准备好所需设备和工具。2、收集阶段(Collection):搜索和定位电子证据。.保护与评估现场(SecureandEvaluatetheScene):保护现场人员的安全以及保证证据的完整性。并识别潜在的证据。对现场记录、归档(DocumenttheScene):记录包括现场的计算机照片等物证。.证据提取(EvidenceCollection):提取计算机系统中的证据，或对计算机系统全部拷贝。3、检验(Examination):对可能存在于系统中的证据进行校验与分析。4、分析(Analysis):对检验分析的结果进行复审和再分析，提取与对案件侦破有价值的信息。5、报告(Reporting):对案件的分析检验结果汇总提交。此过程模型基于标准的物理犯罪(PhysicalCrime)现场调查过程模型。,当前的计算机取证软件的主要功能是文件信息获取和数据恢复。为了更好地理解它们的原理和实现方法，下面以Unix为例介绍基本的文件系统理论和元数据的知识（不针对任何实现）。,关于文件的信息关于文件的结构和账号的信息称为元数据（包括超级分组、索引节点和目录文件）；文件的内容。文件的内容则被简单地称为数据。,UNIX系统使用索引节点来记录文件信息，每一个普通的文件和目录都有惟一的索引节点与之对应。在索引节点中记录着文件的UID、GID、大小、MAC（修改/存取/属性变更）时间、链接计数等信息。,索引节点的结构如图1所示。,为了能够通过文件名找到文件，UNIX文件系统还用到了目录文件。目录文件的逻辑结构为一棵以根目录开始的树。它实际上是文件名和索引节点的对应关系目录项（directoryentry）的列表。,在目录项中记录文件名、索引节点号等信息。另外，由于目录项的长度不是固定的，所以目录项中还有专门的变量表示自身的长度。每次建立一个文件就会在目录文件中增加一个新的目录项。,目录文件和目录项的结构如图2所示。,在UNIX环境下删除一个文件的过程很简单，即首先把索引节点和文件所占用的数据分组的状态信息标记为空闲，然后增大目录文件中相应的目录项的前一项中记录项长度的值，绕过对被删除目录项的访问。,图3表示的是删除一个文件对应的目录项之后的情形。,正是由于文件系统的上述特点，所以在计算机的硬盘中会留下大量记录着过去曾经发生过的文件操作的信息。当前取证软件的作用就是收集和分析这些残存信息。取证软件可以从目录文件中找到被删除的目录项，从中恢复出过去存在过的文件的名字，还可以从索引节点中得到有关文件的信息,下面以EnCase为例来分析计算机取证软件。EnCase是目前使用最为广泛的计算机取证工具，至少超过2000家的法律执行部门在使用它。,它提供良好的基于Windows的界面；它能调查Windows、Macintosh、Linux、UNIX或DOS机器的硬盘，把硬盘中的文件镜像成只读的证据文件，这样可以防止调查人员修改数据而使其成为无效的证据；,为了确定镜像数据与原始数据相同，EnCase会计算CRC校验码并和MD5哈希（Hash）值进行比较。EnCase对硬盘驱动镜像后重新组织文件结构，采用WindowsGUI显示文件的内容，允许调查员使用多个工具完成多个任务。,证据获取技术包括：对计算机系统和文件的安全获取技术；避免对原始介质进行任何破坏和干扰；对数据和软件的安全搜集技术；对磁盘或其它存储介质的安全无损伤备份技术；,对已删除文件的恢复、重建技术；对磁盘空间、未分配空间和自由空间中包含的信息的发掘技术；对交换文件、缓存文件、临时文件中包含的信息的复原技术；计算机在某一特定时刻活动内存中的数据的搜集技术；网络流动数据的获取技术等。,计算机及硬盘数据恢复原理:,以FAT文件系统为例，数据文件写到基于该系统的磁盘上以后，会在目录入口和FAT表（FileAllocationTable文件分配表）中记录相应信息。当我们从磁盘上删除一个文件后，该文件在目录入口中的信息就被清除了，在FAT表中记录的该文件所占用的扇区也被标识为空闲。,事实上，这时保存在磁盘上的实际数据并未被真正清除；只有当其他文件写入，有可能使用该文件占用的扇区时（因为它们已被标识为空闲），该文件才会被真正覆盖掉。下面，我们给出可以为取证服务的各种基于硬盘数据的获取技术。,一般来说，文件删除仅仅是把文件的首字节改为E5H，文件本身并没有破坏对于不连续文件需要恢复文件链，由于手工交叉恢复对一般计算机用户来说并不容易需要用工具处理，如可NortonUtilities来查找。另外，RECOVERNT等工具，都是恢复的利器。,注意：千万不要在发现文件丢失之后在，本机安装什么恢复工具，你可能恰恰把文件覆盖掉了。特别是你发现主要文件被你失手清掉了，应该马上直接关闭电源，用软盘启动进行恢复或把硬盘串接到其他有恢复工具的机器处理。,恢复文件损坏需要清楚地了解文件的结构，因此不是件很容易的事情，不过一般的说，文件如果字节正常，不能正常打开往往是文件头损坏。下面就文件恢复举几个简单例子。,在处理有关类型、特征和处理方面，ZIP、TGZ等压缩包无法解压，ZIP文件损坏的情况下可以用一个名为ZIPFIX的工具处理。自解压文件无法解压，可能是可执行文件头损坏，可以用对应压缩工具按一般压缩文件解压。DBF文件死机后无法打开，典型的文件头中的记录数与实际不匹配了，把文件头中的记录数向下调整。,一定要反解加密算法，或找到被移走的重要扇区。对于那些加密硬盘数据的病毒，清除时一定要选择能恢复加数据的可靠杀毒软件。加密文件后密码破解：采用口令破解软件，如zipcrack等，其原理是字典攻击。有些软件是有后门的，比如DOS下的WPS，Ctrl+qiubojun就是通用密码。,用软盘启动（也可以把盘挂接在其他NT上），找到支持该文件系统结构的软件（比如针对NT的NTFSDOS），利用它把密码文件清掉、或者是COPY出密码文档，用破解软件来处理。,(1)系统不认硬盘,系统从硬盘无法启动，这种故障大都出现在连接电缆或IDE端口上,可通过重新插接硬盘电缆或者改换IDE口及电缆等进行替换试验,就会很快发现故障的所在,如果新接上的硬盘也不被接受，一个常见的原因就是硬盘上的主从跳线有问题。,CMOS中的硬盘类型正确与否直接影响硬盘的正常使用。当硬盘类型错误时，有时干脆无法启动系统，有时能够启动，但会发生读写错误。比如由于CMOS中的硬盘类型错误，导致逻辑硬盘容量小于实际的硬盘容量，则硬盘后面的扇区将无法读写，如果是多分区状态则个别分区将丢失。,主引导程序位于硬盘的主引导扇区，主要用于检测硬盘分区的正确性，此段程序损坏将无法从硬盘引导。修复此故障的方法较为简单，使用高版本DOS的FDISK是最为方便的，当带参数/mbr运行时，将直接更换(重写)硬盘的主引导程序。,如果是没有活动分区标志，则计算机无法启动。但从软驱或光驱引导系统后可对硬盘读写，可通过FDISK重置活动分区进行修复。如果是某一分区类型错误，可造成某一分区的丢失。分区表中还有其它数据用于记录分区的起始或终止地址。这些数据的损坏将造成该分区的混乱或丢失，可用的方法是用备份的分区表数据重新写回。,硬盘主引导扇区中最后的两个字节：“55aa”为扇区的有效标志。如果存在则认为有硬盘存在，否则将不承认硬盘。此处标志可用于整个硬盘的加密技术，可采用DEBUG方法进行恢复处理。另外，当DOS引导扇区无引导标志时，系启动将显示为：“MissingOperationSystem”。可使用DOS系统通用的修复方法。,DOS引导系统主要由DOS引导扇区和DOS系统文件组成。DOS引导出错时，可从软盘或光盘引导系统后使用SYSC：命令传送系统，即可修复故障，包括引导扇区及系统文件都可自动修复到正常状态。,Fat表记录着硬盘数据的存储地址，Fat表的损坏意味着文件内容的丢失。DOS系统本身提供了两个Fat表，如果目前使用的Fat表损坏,可用第2个进行覆盖修复。一些工具软件如NU等本身具有这样的修复功能，使用也非常的方便。如果第2个Fat表也损坏了，可采用CHKDSK或SCANDISK命令进行修复，最终得到*.CHK文件，这便是丢失Fat链的扇区数据。,目录表记录着硬盘中文件的文件名等数据，如果目录损坏将丢失大量的文件。一种减少损失的方法也是采用CHKDSK或SCANDISK程序恢复的方法，从硬盘中搜索出*.CHK文件，由于目录表损坏时仅是首簇号丢失，每一个*.CHK文件即是一个完整的文件，把其改为原来的名字即可恢复大多数文件把其改为丢失文件的名字即可恢复大多数文件。,DOS5.0以上高版本里状态下，在缺省状态下FORMAT格式化操作在缺省状态下都建立了用于恢复格式化的磁盘信息，实际上是把磁盘的DOS引导扇区、FAT分区表及目录表的所有内容复制到了磁盘的最后几个扇区中,这样通过运行UNFORMAT命令即可恢复。另外DOS还提供了一个MIROR命令用于记录当前磁盘的信息，供格式化或删除磁盘之后的恢复,通过使用Sniffer类型工具，如：Windows平台上的sniffer工具：netxray和snifferpro软件等，可以完成网络数据获取。在Linux平台下的TCPDump：根据使用者的定义可以完成对网络上的数据包截获工作。,主要包括：,数据加密技术数字摘要技术数字签名技术数字证书等技术完成取证获得的证据数据的安全性、完整性和不可抵赖性。,证据数据分析技术又叫信息发现，在已经获取的数据流或信息流中寻找、匹配关键词或关键短语，是目前主要数据分析技术。具体包括：文件属性分析技术；文件数字摘要分析技术；日志分析技术；数据分析技术；,根据已经获得的文件或数据的用词、语法和写作（编程）风格，推断出其可能的作者的分析技术；发掘同一事件的不同证据间的联系的分析技术；数据解密技术；密码破译技术；对电子介质中的被保护信息的强行访问技术等。,2.4电子证据数据分析技术,对于任何文件，一般都会保存以下3个时间信息：修改时间（modifytime）：也就是文件最后一次被修改的时间；最后访问时间（accesstime）；创建时间（createtime）。我们把这3个时间的第一个英文字母合并，统称为MAC时间。时间信息对于证据分析过程非常重要，它是关联各种线索的重要要素之一。,攻击者行为与时间次序参见表1。,在调查过程中，我们根据页面被篡改时间（最后修改时间）可以判断攻击者实施攻击是在此之前，因此，调查系统在此之前一段时间的登录记录、防火墙日志、应用程序日志，从而可能找到攻击者入侵的原因其次，在页面篡改时间之后，攻击者可能利用浏览器访问这个网站，观察修改页面是否成功。因此，在此时间之后一小段时间内访问网站的IP地址可能是可疑的IP地址。,从这个例子可以看出，文件的3个时间信息对于重构攻击者在计算机上的行为具有非常重要的意义。另外，利用这些信息还可以缩小调查的范围实际上，每当读取一个文件就会改变该文件的最后访问时间，因此，为了查找具有特定时间属性的文件需要使用专用的工具。比如sfind、afind可以查找具有特定时间属性的文件。,文件数字摘要分析技术是比较两个文件的Hash值是否一致，不直接比较文件本身，即文件一致性比较。因为计算机上可能存在上万个文件，平均每个文件约100KB，则总的比较数据为1000000KB以上。如果只比较每个文件的Hash值（只需16B），总的数据量下降为160KB。显然，比较Hash值的速度与比较文件本身相比，要快许多。,1.寻找已知的异常文件通过与已知的木马、计算机病毒以及其他攻击程序比较，可以发现系统里是否存在已知的异常文件。2.排除已知的正常文件为了减少分析的目标，可以将正常的文件排除在调查范围之外。3.发现被篡改的文件攻击者在入侵之后可能替换了系统的关键程序并留下后门或隐藏自己的踪迹。,（1）登录审计记录的分析,WindowsNT/2000/XP的审计记录记录下了哪些用户从哪一台计算机（只记录计算机名）登录成功或失败，记录创建用户以及用户权限修改的过程。,系统的控制面板管理工具本地安全设置本地策略审核策略遗憾的是，在系统默认的情况下Windows系统并不打开这些审计记录。为了便于分析审计记录，我们可以使用ntlast（处可下载）进行分析。,ntlastsuAdministratorn10作用：显示最后10次Administrator成功登录的记录。ntlastfuAdministratorn10作用：显示最后10次Administrator失败登录的记录。,ntlastn50作用：显示最后50次登录的情况。ntlastv作用：详细显示登录的情况。ntlastfrn50作用：输出最近50次远程错误登录记录。,注意：Windows的审计记录中记录的是访问者的主机名，并没有记录其IP地址。我们可以用于核对调查的嫌疑系统是否登录目标系统，也可以用于调查临近的计算机是否对目标系统做了扫描（因为临近计算机的名字可以得到）。,Windows系统提供的事件日志包括：应用程序日志安全日志系统日志。这些日志可以通过使用控制面板管理工具事件查看器查看。日志由类型、日期、时间、来源、分类、事件、用户、计算机几项构成。,Windows系统在注册表中保存了丰富的信息，包括内容如下：系统启动时自动启动的程序如果攻击者在目标系统上安装了木马程序，多数木马程序是通过注册表项启动的。常见的有：,HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun中指明系统启动时自动启动的程序HKEY_LOCAL_MACHINESOFTWAREMicrofsoftWindowsCurrentVersionRunOnce中指明下次启动时自动启动的程序；,HKEY_CLASSES_ROOTtxtfileshellopencommand中指明打开.txt后缀的文件时启动的程序，攻击者可能利用修改这些默认的程序达到启动程序的目的；HKEY_LOCAL_MACHINESYSTEMControlSet001Services下面制定了各个系统服务应当启动的程序，攻击者可能将木马程序设置为服务程序或者修改服务程序替换成木马。,系统最近登录的网站可以通过如下命令查找：HKEY_USERS?SoftwareMicrosoftTerminalServerClientDefault中包含系统最近使用终端服务登录过的网站。,要查看IIS的日志需要调查者对该服务的漏洞以及常见的攻击方法有一个基础的了解。常见的可疑日志如下：缓冲区溢出攻击，一般在IIS日志中会留下一长串乱码；利用脚本访问数据库存在的漏洞攻击，一般在日志中会出现SQL语句；利用UNICODE/CGIDECODE等漏洞攻击，一般会留下/./等特征的字符串。,要分析这些日志，首先要对攻击者攻击的事件进行初步了解，然后分析所提取的该时间前后的访问日志；其次是要弄清目标系统的IIS服务存在哪些漏洞，攻击者利用这些漏洞可能留下哪些日志特征；第三才是根据这些特征进行查找。,UNIX系统保存了大量的日志信息，这些日志信息一般在/var/adm或var/log目录下，一般情况下需要提取的文件如表72所示。,电子数据主要包括两种类型，一种是文件系统中所存在的本地数据或搜集来的网络数据，另一种是周边数据。而电子证据数据内容分析技术就是在通过这两种数据流或信息流中寻找、匹配关键词或关键短语，以及对数据中包含的系统曾进行的Internet访问的URL、Email交流的邮件地址进行基于模糊逻辑的分析来试图发现电子证据与犯罪事实之间的客观联系。,分析需要很深的专业知识，应由专业的取证专家来分析电子证据。第一，做一系列的关键字搜索以获取最重要的信息。第二，对文件属性、文件的数字摘要和日志进行分析。第三，评估Windows交换文件，fileslack空间，未分配的磁盘空间。第四，对电子证据做一些智能相关性的分析。第五，取证专家完成电子证据的分析后应给出专家证明,电子证据数据鉴定技术包括：硬件来源软件来源地址来源,CPU：提取CPU类型、序列号信息；存储设备：类型、ID；网络设备：类型、IP地址、序列号等；网络接口卡：类型、MAC地址；集线器、交换机、路由器：IP地址、物理地址、机器类型；ATM交换机：IP地址、ATM地址。,根据文件扩展名、摘要、作者名、软件注册码判断数据来自某一个软件及其作者、产生时间。鉴定时要考虑各种软件运行的动态特性。如表73所示。,通过使用扫描与信息收集工具以及攻击工具，查找在主机或网络中的有害代码与操作中存在的具有某些特点，实现软件鉴别。,对于所搜集来的电子数据证据，需要对其源IP地址进行认定，从而更加有效地定位犯罪。IP地址来源鉴定方法：利用源路由选项路由回溯法：（沿路由逆向逐站追溯源站）传统DDoS调查方法开发新取证协议：如RecursivesessiontokenprotocolusedincomputerforensicsandTCPtraceback等。,在计算机取证过程中，取证工具必不可少，在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件。,文件浏览器：这类工具是专门用来查看数据文件的阅读工具。比较好的软件是QuikViewPlus()。图片检查工具：ThumbsPlus是一个功能很全面的进行图片检查的工具。反删除工具：这方面的取证分析工具中最主要的是诺顿工具,CD-ROM工具：使用CD-RDiagnostics可以看到在一般情况下看不到的数据。文本搜索工具：dtSearch是一个很好的用于文本搜索的工具,驱动器映像程序：可以满足取证分析（即逐位拷贝以建立整个驱动器的映像）的磁盘映像软件包括SafeBack、dd、SnapBack、Ghost等。磁盘擦除工具：确保分析机器的驱动器中不包含残余数据，如NTI公司的DiskScrub,取证软件的效能倾向于同时拥有收集和分析数据的功能。目前，国际上的主流产品有：ForensicToolkit：是一系列基于命令行的工具，可以帮助推断WindowsNT文件系统中的访问行为。,TheCoronersToolkit(TCT)：主要用来调查被“黑”的UNIX主机，它提供了强大的调查能力，它的特点是可以对运行着的主机的活动进行分析，并捕获目前的状态信息。,ForensicX：主要运行于Linux环境，主要目的是收集数据及分析数据。它利用了Linux支持多种文件系统的特点，提供在不同的文件系统里自动装配映像等能力、能够发现分散空间里的数据、可以分析UNIX系统是否含有木马程序。,NewTechnologiesIncorporated(NTI)：NTI是取证软件最为固定的商家之一。NTI取证软件以命令的形式执行软件，所以速度很快，软件包的体积小，适合于在软盘上使用。,计算机反取证就是删除或者隐藏入侵证据使取证工作无效。它主要包括三类技术：数据擦除数据隐藏数据加密。,研究反取证技术，一方面可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹；另一方面可以在了解这些手段的基础上，开发出更加有效、实用的计算机取证工具。,数据擦除是阻止取证调查人员获取、分析犯罪证据的最有效的方法，用一些毫无意义的、随机产生的“0”、“1”字符串序列来覆盖介质上面的数据，使取证调查人员无法获取有用的信息。,目前最极端的数据擦除工具是DataSecurityInc.开发的基于硬件的Degaussers工具，该工具可以彻底擦除计算机硬盘上的所有电磁信息。,其它用软件实现的数据擦除工具既有商业软件包，也有开放源代码的自由软件，其中较好的是基于UNIX系统的数据擦除工具TheDefilersToolkit，它提供2个工具来彻底清除UNIX类系统中的文件内容。下面介绍这2项工具。,该工具列出并清除在指定时间范围内被删除文件的节点的内容，同时清除与这些i节点相关的数据块分组的内容。这样取证调查人员便无法获得文件系统的任何证据，取证工作自然无法正常进行。,当调用Necrofile程序运行时，Necrofile程序首先检查节点表中每个i节点的状态，对于每个“脏（dirty）”节点予以特别的关注，将每个符合清除条件的“脏（dirty）”节点的内容清空，然后再写回到节点表中。下面是使用Necrofile工具清除被删除文件节点内容的一个例子：,第一步：用TCT工具包中的ils工具在指定分区上查找被删除的节点CODE:#./ils/dev/hda6class|host|device|start_tlmeils|XXX|/dev/hda6|1026771982st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block12|f|0|0|1026771841|1026771796|1026771958|1026771958|100644|0|86|545|0|3|f|0|0|1026771842|1026771796|1026771958|1026771958|100644|0|86|546|0,第二步：用Necrofile工具定位并清除被删除节点的内容：CODE:#./necrofile-v-v-v-v/dev/hda6Scrubbingdevice:/dev/hda612=m:0 x3d334d4da:0 x3d334d4dc:0 x3d334d4fd:0 x3d334d4f13=m:0 x3d334d4da:0 x3d334d4dc:0 x3d334d4fd:0 x3d334d4f.#,第三步：验证被删除节点的内容已被清空：CODE:#./ils/dev/hda6class|host|device|start_tlmeils|XXX|/dev/hda6|1026772140st_ino|st_alloc|st_uid|st_gid|st_mtime|st_atime|st_ctime|st_dtime|st_mode|st_nlink|st_size|st_block0|st_block1.#,该工具完成的主要功能是清除被删除文件的目录项的内容。下面是使用该工具清除被删除文件目录项内容的一个例子：,第一步：用fls工具列出指定分区上所有被删除的文件目录项CODE:#./fls-d/dev/hda62?*0;a?*0;b.#,第二步：用Klismafile工具清除所有被删除文件目录项的内容CODE:#./klismafile-v/mntScrubbingdevice:/dev/hda6cleansing/-a-b.Totalfilesfound:29Directorieschecked:1Direntsremoved:26#,第三步：验证被删除文件目录项的内容已被清空CODE:#./fls-d/dev/hda62#,数据隐藏主要是阻止调查取证人员在取证分析阶段对获取的数据进行有效的分析。目前实现数据隐藏的常用方法主要有以下几种。,实现数据隐藏的方法有很多，常用方法主要有：数据加密、更改文件的扩展名、隐写术、伪装夹带技术以及改变系统的运行环境等。,数据加密数据加密是用一定的加密算法对数据进行加密，使明文变为密文。一个例子就是在DoS攻击中对控制流进行加密。一些分布式拒绝服务(DDoS)工具允许控制者使用加密数据控制那些目标计算机。BO2000也对控制流进行了加密以试图躲过入侵检测软件。黑客也可以利用RootKit(系统后门、木马程序等)，避开系统日志或者利用窃取的密码冒充其他用户登录.,更改文件的扩展名在Windows系统中，更改文件的扩展名是一种最简单的数据隐藏方法。例如，某人不想让别人看到其word文档里的内容，那么他可以将文件的扩展名从.doc改为.jpg。,隐写术隐写术的意思是“隐藏在普通的视觉之下”。Steganography（隐写术）这个单词是由希腊词语里的“Coveredwriting”转化而来的，是指有隐藏特性的数据。目前已有一些商业的隐写术应用软件，数字水印(DigitalWatermark)就是其中的一种，它主要是将数据隐藏到位图中。,伪装夹带技术通常通过两种方法对数据进行保护：第一种是使数据不可见，隐藏它的所有痕迹;第二种是对数据进行加密，其过程不仅仅是对数据进行隐藏。它的使用受到时间因素的限制，想要“伪装夹带”一个文件，那你一次只能对一个文件进行操作。,改变系统环境系统环境改变之后，系统会给出假的关于数据内容和活动的信息，从而实现数据隐藏目的。,目前在UNIX系统中使用最广泛的取证分析工具是由DanFarmer和WietseVenema开发的TheCoronorsToolkit，即TCT工具包。但TCT工具包存在一个致命的缺陷，该缺陷源于它在实现时有两个致命的错误：一个错误是认为数据块分组不能分配给根i节点之前的任意i节点；另一个错误是没有考虑到坏块i节点。,这样使得TCT工具无法检查入侵者隐藏在磁盘的某个特定区域上面的数据。Runefs就是一个利用TCT工具包的缺陷而在UNIX环境下开发成功的数据隐藏工具。下面是一个使用Runefs工具包建立、使用隐藏空间的具体实例：,第一步：建立隐藏空间CODE:#df-k/dev/hda6Filesystem1k-blocksUsedAvailableUse%Mountedon/dev/hda61011928209605041%/mnt#./bin/mkrune-