反取证

Q: 反取证 是什么?

攻击者或注重隐私者用于阻碍、延迟或挫败数字取证调查的各种技术。 它属于网络安全的 取证与应急响应 分类。

Q: 如何防御 反取证?

针对 反取证 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

反取证是什么?

反取证攻击者或注重隐私者用于阻碍、延迟或挫败数字取证调查的各种技术。

反取证泛指任何蓄意隐藏、销毁或伪造数字证据,以妨碍重建事件的行为。常见方法包括安全删除与磁盘擦除、全盘加密、清空日志(wevtutil cl、journalctl 轮换)、时间戳篡改(操纵 $MFT 的 MACB 时间)、痕迹混淆(进程镂空、内存执行)、无文件攻击、隐写术、日志注入以及一次性虚拟机。LOLBins 进一步减少攻击者残留。响应人员通过内存取证、易失数据采集、冗余日志投递到 SIEM、WORM 存储以及按 NIST SP 800-86 进行多源相互印证来应对。

● 示例

01
入侵者使用 wevtutil 清空 Windows 事件日志,以抹除登录痕迹。
02
对释放的工具进行时间戳篡改,使其 $MFT 时间与合法系统文件一致。

● 常见问题

反取证是什么?

攻击者或注重隐私者用于阻碍、延迟或挫败数字取证调查的各种技术。它属于网络安全的取证与应急响应分类。

反取证是什么意思?

攻击者或注重隐私者用于阻碍、延迟或挫败数字取证调查的各种技术。

如何防御反取证?

针对反取证的防御通常结合技术控制与运营实践,详见上方完整定义。

反取证还有哪些其他名称?

常见的别称包括: 反取证技术, 证据销毁。

反取证

反取证是什么?

● 示例

● 常见问题

● 相关术语

● 另见

反取证 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

反取证是什么?