反黑风暴-第35章

按键盘上方向键 ← 或 → 可快速上下翻页，按键盘上的 Enter 键可回到本书目录页，按键盘上方向键 ↑ 可回到本页顶部！
————未阅读完？加入书签已便下次继续阅读！



步骤05单击【下一步】按钮，即可看到【正在完成证书导入向导】对话框。单击【完成】按钮，即可进行导入证书操作，待导出完成后，即可看到【证书导入成功】提示框。单击【完成】按钮，即可完成导出证书操作。

11。5。3专业的文件夹加密工具

文件夹加锁王是一款专业的文件夹加密工具，它的最新版本是文件夹加锁王2010钻石版。这一版本的文件夹加锁王在功能上和传统的隐藏文件夹、伪装文件夹有着本质的区别，采用了先进的文件夹加密技术，可以有效地加密用户的数据文件夹，加密速度快，加密一个2G的文件夹大约需要不到1秒，而且加密强度高。该软件还不受系统影响，即使重装、Ghost还原、系统盘格式化，也依然可以照样使用。

“文件夹加锁王”支持的加密方式为：本机加密和移动加密。也就是说，经过加密的文件夹即可以在本机上使用，也可以移动到其他计算机上使用。

下面介绍一下利用“文件夹加锁王2010钻石版”软件加密EXE文件和文件夹的方法。

1．加密EXE文件

利用“文件夹加锁王2010钻石版”可对单独的EXE文件进行加密，具体操作方法如下：

步骤01将下载的“文件夹加锁王2010钻石版”压缩包进行解压缩后。双击程序文件中的图标，即可打开【EXE文件加密工具】窗口。

步骤02在“选择要操作的EXE文件”文本框中设置要加密的文件，并在下面的文本框中输入加密密码，单击【开始加密EXE文件】按钮，即可对该文件进行加密。在加密完成后，即可弹出对话框，提示用户已成功加密。

2．移动加密

使用移动加密功能加密文件夹后，在解密该文件夹时，即使脱离“文件夹加锁王2010钻石版”主程序，也能够对该文件夹进行解密。使用移动加密功能加密文件夹的方法：

步骤01双击“文件夹加锁王2010钻石版”程序文件中的图标，会弹出提示框，提示用户默认登录密码为空白，登录后可更改使用权限密码。

步骤02单击【登录主界面】按钮，即可进入“文件夹加锁王2010钻石版”软件的主界面中。选择【其他工具】→【移动磁盘文件夹加密器】菜单项，即可打开【移动加密】对话框。

步骤03单击“请选择要加密的文件夹”文本框右侧的【浏览】按钮，在弹出的【浏览文件夹】对话框中选择要加密的文件夹。

步骤04单击【确定】按钮，返回【移动加密】对话框中，在“请输入加密密码”文本框中输入加密密码。单击【开始加密文件夹】按钮，在加密成功后，即可弹出文件夹已成功加密的提示信息。

步骤05单击【确定】按钮，即可完成文件夹的加密。此时，加密的文件夹中将会出现一个“移动解密。exe”的图标，文件夹中的文件被隐藏了，只有解密后才可以将隐藏的文件显示出来。若要访问加密的文件夹，可双击“移动解密。exe”的图标，在弹出的对话框中输入解密密码即可。

11。5。4网页加密工具

对于自己制作网页的企业、组织或个人来说，如果只希望允许的用户访问网页的信息，或者想要保护自己网站的源代码，可以使用专门的加密工具对网页进行加密，从而限制网民的浏览权限．一种可以快速地对指定的网页进行加密的网页加密工具EncryptHTMLPro，它支持HTML源码、JavaScript、VBScript、文本、超链接和图片的加密

，而且加密后的文件无须额外组件支持即可正常运行（浏览器需支持JavaScript脚本）。

下面介绍使用EncryptHTMLProV3。00工具加密网页的具体操作步骤。

步骤01安装并运行EncryptHTMLProV3。00，进入EncryptHTMLProV3。00软件的主界面中。

步骤02单击【Next（下一步）】按钮，进入【Step1（步骤1）】窗口。要加密网站，需选中“ProtectwebFiles（保护网站文件）”选项。单击【添加文件夹】按钮，即可打开【AddFolder（添加文件夹）】对话框。

步骤03设置要加密的网站。在【AddFolder（添加文件夹）】对话框中单击【Browse】按钮，即可打开【浏览文件夹】对话框，在其中选择需要加密的网站文件。

步骤04单击【确定】按钮，返回【AddFolder（添加文件夹）】对话框中，即可看到添加的文件夹。单击【OK】按钮，即可在【Step1（步骤1）】窗口中看到该文件夹中包含的所有的网页文件。

步骤05单击【Next（下一步）】按钮，进入【Step2（步骤2）】窗口，在其中设置各个加密属性。单击【Next（下一步）】按钮，即可进入【Step3（步骤3）】窗口，在其中勾选相应的复选框。

步骤06单击【Next（下一步）】按钮，即可进入【Step4（步骤4）】窗口，在其中设置各个加密属性。单击【Next（下一步）】按钮，即可进入【LastStep（最后一步）】窗口。

步骤07单击【Protect（保护）】按钮，即可打开【EncryptHTMLProtrialversion（EncryptHTMLPro版本信息）】提示框。

步骤08单击【Registerlater（以后注册）】按钮，即可打开【Information（信息）】提示框。此时，即可在【消息】提示框中看到对选定文件夹中网页加密的结果。

步骤09单击【OK】按钮即可在【LastStep（最后一步）】窗口中看到已经被加密的网页文件。

11。5。5逻辑型文件擦除技术

由于系统上简单的文件删除操作并不是真正地销毁数据，即使是按下【Delete】、【Shift＋Delete】键删除数据，或进行format操作，删除数据，也只是在数据的存储区域做了一个标记，并没有真正地删除。通过一些途径，还能够将删除的数据恢复。

因此，为了彻底地删除数据，防止别人恢复你的数据，查看其中的信息，就需要利用文件擦除技术，完整地从硬盘中擦除文件的痕迹。

文件擦除工具WipeFile是删除文件的最安全工具，虽然程序体积小巧，但是程序提供有美国海军标准、国防部标准、北约空军美国国防部标准等先进的14种删除技术，用户可以调用任何一项技术来删除文件，而且它们都是最安全的处理技术。用户可以通过它来清除重要文件，即使日后用软件和硬盘恢复工具也无法完成对文件的恢复。

下面介绍如何利用WipeFile软件来删除文件，其操作方法非常简单。

步骤01安装并运行WipeFile软件，即可进入其主界面中。在界面中间的空白部分右键单击，在弹出的快捷菜单中选择【加入文件】菜单项。打开【加入文件】对话框，在其中选择要删除的文件，如god。exe。

步骤02单击【打开】按钮，将选择的文件添加到WipeFile主界面的列表框中，并单击“使用技术”下拉按钮，在其下拉列表中选择一种删除技术，如“美国（DOD5220。22…M及（AFSSI5020）（3*））”。

步骤03单击【抹除】按钮，即可弹出对话框，提示用户所有清单中的文件会被抹除，而且不可恢复。单击【确定】按钮，即可删除列表中添加的所有文件。

第六章　数据反取证信息对抗

计算机取证就是对计算机犯罪的证据进行获取、保存、分析和出示，实际是一个扫描计算机系统以及重建入侵事件的过程。与计算机取证研究相比，人们对反取证技术的研究相对较少。所谓反取证就是构造一个框架，模拟取证专家们是如何查找及处理敏感数据，熟悉取证专家们的操作步骤，并把其中重要的环节击破，以确保计算机中的行为与痕迹无法窥知。

11。6。1主机数据信息核查

主机数据信息核查就是指对主机进行系统漏洞核查、网络状态核查、软件安全核查、脚本漏洞核查等，黑客在入侵计算机之前，必须要先进行这些检查，查看计算机中是否存在这些风险。如果存在，黑客就有机可乘了，就可以大摇大摆的利用这些漏洞入侵你的计算机，窃取数据。因此，将漏洞扼杀之前，必须先检查系统。要查看系统中的一些重要信息，可利用Windows系统中自带的CMD命令行或一些取证工具，如数字取证工具X…WaysTrace。

1．CMD命令信息核查

现在的Windows系统中都提供有CMD命令行，在其中输入相关的命令可以查看系统中的一些重要信息，检查系统是否存在问题。

●systeminfo命令。打开命令提示符窗口，在其中输入命令“systeminfo”，即可查看系统的主要信息，这里只需查看OS设置信息与时间信息即可。

●tree命令。利用tree命令可以图形显示驱动器或文件夹的结构，这样能够更方便用户对分区中的文件进行核查。比如，要查看D盘中的文件，可在命令提示符窗口中输入命令“treed：/f｜more”，即可在命令行界面分屏检查。

2．法证工具信息核查

取证工具可以将计算机中的使用痕迹扫描出来，如系统日志、防火墙与入侵检测系统的工作记录、反病毒软件日志、网络监控流量、电子邮件、操作系统文件、、Web浏览器数据缓冲、历史记录或会话日志、实时聊天记录等。而有些取证工具还可以依照某些关键字，如HTTP、Cookie，自动扫描驱动器中的敏感信息。

下面介绍一款数字取证工具X…WaysTrace3。1，它不仅可以搜索用户指定的整个目录和子目录，以及整个硬盘（或者硬盘的RAW格式镜像）中已用空间、未用/闲置空间，追查是否有人曾在Inter上冲浪，也可记录对本地文件的访问，还可以通过分析InterExplorer的内部历史记录和缓存文件index。dat，显示所有URL/上次访问的时间和日期/用户名/文件大小/文件扩展名等。

利用X…WaysTrace3。1扫描驱动器的具体操作步骤如下：

步骤01运行X…WaysTrace3。1，进入其主界面中。选择【File】→【OpenDisk】菜单项，打开【OpenDisk】对话框。在对话框中选择要进行全面扫描的磁盘C。

步骤02单击【OK】按钮，扫描一会后，即可列出扫描的结果，其中包括从磁盘C中获取到的URLs、redirections等信息。

步骤03X…WaysTrace除了支持系统分区扫描，还支持非系统分区扫描。在【OpenDisk】对话框中选择磁盘D，即可对磁盘D进行全面扫描，并列出扫描的结果。

11。6。2击溃数字证据

数字证据在司法中并不能真正地充当证据，因为所有的证据都要证明它的真实性和惟一性。而电子数据证据的特殊数据信息形式，需要计算机技术和原有的操作系统环境才能再现数据形式。此外，从目前数字技术来说，所有的数字记录都很难说明是否是原存储介质中的资料，是否进行了修改，在证据中很难鉴别。击溃数字证据很简单，只需利用它本身的特性来进行反取证即可。

1．软件反监控与自我销毁

当前绝大部分单位和个人热衷于监控，监控本身就折射了人性的阴暗和不信任，如果被不法分子获取了个人隐私资料（特别是账号密码、私密文件、照片等），后果可能不堪设想。因此，我们要了解一些软件来反监控，对付系统中隐藏的取证软件。

反监控软件必须要具有木马性质，主要监控计算机中的进程、网络和系统。

●进行监控：进程监控主要监视进程列表中是否有取证软件的进行，如WinHex、X…WAY及隐藏进程。若反监控软件发现计算机中存在取证软件的进程，可立即对数据进行自我销毁。

●网络监控：必须要确保主机连接上网络，而一旦检测到网络流量异常以及人为中断，就会启动自我销毁。

●系统监控：关于系统监控比较复杂，它主要着重于开机与关机操作。用户可自己编写一个小程序替换掉系统的关机功能，除了正常的关机操作，小程序要求必须在关机前1分钟内输入任意数字才关机。若检测到没有，即启动自我销毁。

利用软件来反监控虽然也能够在一定程度上保护数据，防止数据被拷贝，但这种方法存在很多缺陷。例如，在网络监控时，有时会遇上突然断电的情况。此时，取证专家可以直接切断后备电源，并将硬盘拿到其它的平台对数据进行拷贝，以确保证据仍然存在。

2．硬件反监控与自我销毁

硬件反监控可以从根据上杜绝数据被拷贝，因为这种方法的自我销毁方式有两种：芯片型和物理型。一旦利用其中任意一种方式销毁数字证据，就可以彻底销毁。

●芯片型

芯片型的反监控需要先将硬盘及整个机箱都用外箱封闭起来，机箱外观可使用iPhone触感技术来检测机箱是否碰触了坚锐物和化学物品，并由机箱前方的智能芯片控制，该智能芯片需要开箱的密码验证。然后在硬盘相关接口插入可编程的构件并连接智能芯片，如果密码连续三次输入错