数据隐藏 MSE安全攻防培训资料.pptVIP

数据隐藏 wangdayong@263.net 背景 在安全事件分析过程中，遇到的最具挑战性的问题之一就是数据被对方有意地隐藏起来 一定要总是假设检查的系统里可能含有隐藏数据 前面我们曾讨论过加密技术，但加密并不是数据隐藏的唯一技术 数据隐藏技术 通过加密实现数据隐藏非常简单，以至于很多人根本没意识到自己对数据进行了加密 大多数软件如office都内置了口令保护功能，可以看作是最简单的加密方式 微软Word中的加密选项 使用16进制编辑器，发现加密后的word文件不可阅读 微软Word中的加密选项 总是假设目标计算机word开启了自动备份功能 自动备份功能，会自动创建word文档的副本 副本以.wbk扩展名结尾 副本是不受密码保护的，以纯文本的形式存储 获得密码 使用工具获得用户口令的难度因不同平台而异 例如：微软的Windows 9X就习惯将密码已明文的形式进行存储 我们可以使用像Cain这样的工具来获得windows系统缓存的拨号帐户、电子邮件帐户、网页和MSN中的明文密码 Cain 擅长从缓冲中获得口令 同时具有快速口令字典测试功能 暴力破解效果较好 能够自动发现.pwl或.dat文件中的口令 AccessData 针对Word、WordPerfect、Excel以及许多应用程序，效果都非常好 具有分布式网络攻击程序（DNA），在多台PC上同时运行，同时进行密码破解，缩短暴力破解的时间 只利用其它客户机的空余资源，不影响其它计算机的正常运行 只有主计算机能打开破解的文档，不必担心其他客户机内容泄露 AccessData在Intel200MHz上运行破解耗时 LostP 提供针对流行应用程序的破解软件，包括：office、wordperfect、Outlook、Quicken 私人使用免费 提供针对IE的工具，能够复位IE中成人健康顾问的超级用户密码 破解Windows NT/2000帐户 密码存放在安全帐户管理器中（SAM） 无论在本地，还是在服务器上都很容易破解 推荐使用@stake的L0phtCrack L0phtCrack 利用windows密码哈希运算弱点，很快便可以破解出大多数密码 图形用户界面提供口令嗅探器，可以从网络登陆会话中捕获密码的哈希值 命令行版本可以免费使用 破解Windows NT密码 重启嫌疑人的计算机到DOS状态下 使用NTFSDOS工具，拷贝出SAM SAM是注册表的一部分，可在\winnt\system32\config下找到它 在分析系统上对SAM运行L0phtCrack L0phtCrack会将破解的结果显示在客户界面上 ntpassword 一个启动软盘镜像 通过它启动系统并可以修改任意密码及注册表里的值 该工具可能严重破坏NT操作系统文件，目标系统不能再用作证据 http://home.eunet.no/~pnordahl/ntpasswd 破解WinZip加密文件 AZPR：俄罗斯高级ZIP口令恢复公司开发 在PII处理器速度下，每秒可搜索2,000,000个口令 支持多种语言，避免嫌疑人使用我们不熟悉的语种进行加密 Zip Password 针对ZIP加密文件的破解工具 使用简单，速度快 每分钟可以破解1 000 000 000种密码 破解速度与预先配置有很大关系 隐藏和发现数据 简单隐藏可以通过修改文件扩展名实现 缺乏经验的管理员可能不会认为一个.jpeg结尾的图片文件会是一个word文档 使用基于内容辨别文件类型的浏览器可以解决这个问题 Quick View Plus或Encase可以找出不匹配扩展名文件的真实类型 使用windows搜索功能 windows搜索功能不靠扩展名区分文件类型 搜索关键字“test”很可能搜索出一些图片文件 检查文件头 文件头部通常包含一个16进制值，表明文件类型 Wotsit’s Format给出了大量的文件格式详细信息 针对Unix 嫌疑人故意以“.”开头命名文件，使文件不显眼 然后将它放入以一个点或多个点开头的目录中，或放入系统目录下，使得文件不易被发现 NT 文件流 Windows NT操作系统允许将任意数据附加在一个文件上，使该数据在一般的系统工具或程序中变为不可见 文件流是NTFS下的一种机制，它允许将新的数据对象同一个文件关联或连接 文件流最早1998年被提出 文件流可用于隐藏数据 实验: NT文件流（一） 创建用于附加信息的文件： C:\md test C:\cd test C:\test echo “This file will have hidden data attached” file.txt 实验: NT文件流（二） 将一份数据附加到这个文件上，文件流命名为：sneak 文件流语法：文件名称：文件流