Антифорензика
Что такое Антифорензика?
АнтифорензикаМетоды, применяемые злоумышленниками или сторонниками приватности для затруднения, задержки или срыва цифровых криминалистических расследований.
Антифорензика включает любые осознанные действия по сокрытию, уничтожению или фальсификации цифровых доказательств с целью помешать восстановлению событий. Распространены безопасное удаление и вайп дисков, полное шифрование, очистка журналов (wevtutil cl, ротация journalctl), timestomping (подмена MACB-меток в $MFT), обфускация (process hollowing, исполнение в памяти), бесфайловые атаки, стеганография, инъекция в логи и одноразовые виртуальные машины. LOLBins дополнительно сокращают следы. Реагирующие команды противодействуют этому через криминалистику памяти, сбор летучих данных, дублирующую отправку логов в SIEM, WORM-хранилища и кросс-источниковую сверку согласно NIST SP 800-86.
● Примеры
- 01
Злоумышленник очищает журналы событий Windows с помощью wevtutil, чтобы удалить следы входа.
- 02
Timestomping подброшенного инструмента: его метки $MFT подгоняются под легитимные системные файлы.
● Частые вопросы
Что такое Антифорензика?
Методы, применяемые злоумышленниками или сторонниками приватности для затруднения, задержки или срыва цифровых криминалистических расследований. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Антифорензика?
Методы, применяемые злоумышленниками или сторонниками приватности для затруднения, задержки или срыва цифровых криминалистических расследований.
Как защититься от Антифорензика?
Защита от Антифорензика обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Антифорензика?
Распространённые альтернативные названия: Контрфорензика, Уничтожение доказательств.