Antiforense
O que é Antiforense?
AntiforenseTécnicas utilizadas por atacantes ou atores preocupados com privacidade para dificultar, atrasar ou frustrar investigações forenses digitais.
A antiforense abrange qualquer esforço deliberado para esconder, destruir ou fabricar provas digitais e impedir a reconstrução dos factos. Métodos habituais incluem apagamento seguro e wipe de discos, cifragem integral, limpeza de registos (wevtutil cl, rotação do journalctl), timestomping (manipulação dos tempos MACB no $MFT), ofuscação (process hollowing, execução em memória), ataques fileless, esteganografia, injeção de logs e máquinas virtuais descartáveis. LOLBins reduzem ainda mais os artefactos. Os respondedores contrariam com forense de memória, captura de dados voláteis, envio redundante para SIEM, armazenamento WORM e corroboração cruzada, conforme o NIST SP 800-86.
● Exemplos
- 01
Um intruso apaga os registos de eventos do Windows com wevtutil para eliminar vestígios de logon.
- 02
Timestomping de uma ferramenta colocada para que os carimbos $MFT coincidam com ficheiros legítimos.
● Perguntas frequentes
O que é Antiforense?
Técnicas utilizadas por atacantes ou atores preocupados com privacidade para dificultar, atrasar ou frustrar investigações forenses digitais. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Antiforense?
Técnicas utilizadas por atacantes ou atores preocupados com privacidade para dificultar, atrasar ou frustrar investigações forenses digitais.
Como se defender contra Antiforense?
As defesas contra Antiforense costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Antiforense?
Nomes alternativos comuns: Contraforense, Destruição de provas.