iyouport

取证和反取证工具及资源

Published: May 13th 2023, 3:39:17 am

下面将总结一些反取证工具和知识资源。

"反取证" 意味着：首先让他们找不到你，即便他们找到了，他们也无法证明你是他们要找的人。

以下的内容汇总主要用于 PC 反取证，资源类条目中包含针对移动设备的工具和技术原理。

📌 如果您错过了：

-《如果您的手机被盗或被警察抢走…》 https://iyouport.substack.com/p/a5e

- 《如何通过一些设置预防iPhone被盗或被警方查抄所造成的损失？》 https://iyouport.substack.com/p/iphone-d80

- 《如何让您的 iPhone 能够防小偷》 https://iyouport.substack.com/p/-iphone--a57

-《如何保持 Android 设备免受警察的侵害》 https://iyouport.substack.com/p/-android-

以及：

-《数字取证正在泛滥：政府可以从你的手机中提取哪些数据？》https://iyouport.substack.com/p/26c?s=w

-《警察查手机的东西长什么样？ - - 从技术角度看移动设备取证》https://iyouport.substack.com/p/--4f1?s=w

-《让政府机构从您使用的应用程序中提取大量数据的秘密技术：云取证》

https://iyouport.substack.com/p/lr--155

-《警察有可能如何恢复您已删除的互联网浏览历史记录》https://iyouport.substack.com/p/694?s=w

*********

1、Awesome-anti-forensic

🧬 https://github.com/droberson/Awesome-anti-forensic

一个很强大的用于反取证和取证的工具和软件包，包括加密、隐写和任何改变属性的东西。

包括比如，

• 独立的启动映像，可安全擦除大多数计算机的硬盘。适用于批量或紧急数据销毁；
• 取证浏览器。Sleuth Kit 的 GUI；
• 离线 NT 密码编辑器 - 在 Windows NT SAM 用户数据库文件中重置密码；
• 各种清洁产品；
• ELF加密工具；
• 还有用于取证的GNU数据恢复工具；
• 用于检查NTFS的工具；
• facebook内存取证工具；
• 用于分析PDF文件的工具；
• 检测图像中隐写内容的工具；
• 用于安全删除的Unix工具；
• 还有流量解码器等……

2、WinLogs-Killer

🧬 https://github.com/ScorpioTM/WinLogs-Killer

这个工具可以清除Windows保存的各种日志和历史文件。

现在它可以删除：

• Windows 事件日志；
• Windows 远程桌面的历史；
• 最近打开的文件。

3、emerg

🧬 https://github.com/cedriczirtacic/emerg

lkm模块用于紧急启动二进制文件/脚本。

它总是在后台运行（从内核空间），当你输入 "秘密口令" 时，它将做任何指定的事。

它适用于标准终端（tty），而不是伪终端（pty）。

该模块有两个参数，一个是短语（注意这个），另一个是可执行文件的路径。

Phrase : 输入这个短语将是触发器，所以要明智地选择。

Exec : 可执行文件（这可以是一个二进制文件或一个脚本）。

4、Kaiser

🧬 https://github.com/NtRaiseHardError/Kaiser

一个有趣的病毒，特点包括：无文件的持久性，攻击和反取证能力。

这个项目不是为了逃避反病毒检测而设计的。

恶意软件最有利的属性之一是生存能力，作为保持弹性和逃避安全解决方案检测的一种手段。

这种恶意软件的性质应包括其套件中的反取证能力，以保持其足迹最小，以及篡改系统和取证证据，以防止其被捕获和分析。

与无文件方法相结合，复杂的恶意软件能够在攻击系统的同时保持规避，避开多年来发展和完善的传统检测方法。

Kaiser概念验证恶意软件的设计是为了展示反取证和无文件功能的一个子集。这些功能包括无文件保存和二进制执行，以及反取证对策，即禁用事件日志服务，并主动阻止被感染的机器和自身被取证分析，以防止任何进一步的入侵调查。

5、Anti Forensics

🧬 https://github.com/7h3pr0xy/Anti-Forensics

Anti-forensics 是在您的电脑上不留痕迹的艺术，它旨在与常见的取证工具作斗争，以防止在您的计算机上进行取证测试的任何渗透。

这是一篇关于取证保护方法的定义和适当调整的文章，值得一读。

基本的东西都讲到了，并且具有一些有趣的表述，于是也包含一些有趣的想法。

6、Metadata Remover

🧬 https://github.com/Anish-M-code/Metadata-Remover

删除不需要的元数据就可以改善隐私。很简单吧。

一个简单的元数据删除工具，用于从图像和视频中删除元数据。用 C 和 Python3 开发。

Python版本支持音频和torrent文件。

7、Fishy

🧬 https://github.com/dasec/fishy

fishy是一个用Python实现的基于文件系统的数据隐藏技术的工具包。

它收集了各种常见的利用方法，利用文件系统层上的现有数据结构，从常见的文件访问方法中隐藏数据。

这个工具包旨在教育人们了解与数据隐藏相关的既定反取证技术的概念。

fishy的设计目标之一是保持一个模块化结构。隔离层允许功能被封装起来。

8、Forensia

🧬 https://github.com/PaulNorman01/Forensia

红队成员的反取证工具。减少有效载荷耗尽并增加检测倒计时。可用于测试您的事件响应/取证团队的能力。

能力包括：

• 卸载Sysmon驱动
• 根据古特曼算法粉碎文件
• 禁用USNJrnl
• 禁用prefetch
• 删除日志和禁用事件日志的工具
• 用户辅助更新时间禁用器
• 禁用访问时间
• 删除最近的项目
• 清除 shim 缓存
• 清除最近的文件缓存
• 清除Shell Bag
• 删除Windows Defender的隔离文件
• 熔化文件

9、Myool

🧬 https://github.com/cle0n/myool

取证保护、隐写、数据渗漏。使用 AES-256 加密文件并将其隐藏在任何 PDF 文件中。

适用于 Windows 和 Linux 的 Python 版本的 myool 要快得多，因为它不会多次访问磁盘。

10、Awesome-memory-forensics

🧬 https://github.com/digitalisx/awesome-memory-forensics

为DFIR策划的卓越的内存取证研究清单。

内存取证是对计算机内存转储的取证分析。其主要用途是调查复杂的计算机攻击，这些攻击足够隐蔽，不会在硬盘上留下数据。因此，必须对内存（RAM）进行取证信息分析。

11、Anti-forensic technologies

🧬 https://book.hacktricks.xyz/generic-methodologies-and-resources/basic-forensic-methodology/anti-forensic-techniques

这篇文章概述了反取证的方法和它们的工作原理。

比如改变时间戳、usnjrnl、改变日志系统中的元数据。

还有对USB的反取证，以及更多。

如果您对这个领域感兴趣的话，推荐阅读。

12、Anti Forensics

🧬 https://github.com/cbranan/Anti-Forensics

一份研究显示了常用取证工具包的优势和劣势。

该研究报告分为以下几个部分：

对隐藏、改变和破坏数据的反取证工具的研究，流行的多合一取证工具包，以及对评估这些取证工具包的文档策略的研究。

13、Awesome-forensics-1

🧬 https://github.com/rezaduty/awesome-forensics-1/

一个很丰富的取证资源： 近 300 个开源取证工具和 600 篇取证博客文章。

14、Lockwatcher

🧬 https://github.com/ncatlin/lockwatcher

反取证监测软件： 寻找未经授权的访问迹象并清除密钥/关闭一切。

Lockwatcher是建立在这样的假设之上的：如果有人试图在您的电脑被锁住的时候使用您的电脑，他们就会试图获取您的实时数据，所以这些数据需要被销毁，并且使电脑无法访问。

它的工作方式是：

• 只要您不在电脑前，就会锁定电脑。
• 与被锁定的计算机进行交互会导致崩溃。
• 加密密钥从内存中被移除，计算机被关闭。

就是这样。您还可以补充更多内容。🔧