Så, någon som tittat på detta?
Shredderers och "safe-deleters" och annat finns det gott om.
En annan mycket trevlig sak är t.ex. 42.zip
http://www.unforgettable.dk/42.zip

När någon söker igenom din dator med anti-forensics-verktyg kommer denna fil att packas upp.
Den nyttjar en kul mattematisk egenhet som ger optimerad komprimering.

http://www.webhostingtalk.nl/bugtraq-maili...sion-bombs.html

www.simson.net/ref/2007/slides-ICIW.pdf
Denna artikel tar upp lite information på ämnet.

Ngn som har några andra prylar?
Just EnCase är det idag största verktyget, och det finns en del attacker mot det.
Det verktyg jag använder är Helix, vilket är open source-prylar. Oddsen att det finns sårbarheter är god, fast arbetsmetoden är helt annorlunda än EnCase, så tror det är mindre sårbart
(EnCase har en del övervakande funktioner och lagrar på server, Helix samlar in först, analyserar sedan, så väl insamlad så är det ju lite sent att stoppa käppar i hjulet).

Aja, mest hypotetisk tråd. Anti-forensics är alltså sättet att motverka en faktiskt granskning, inte rootkit-tekniker eller liknande

Intressant. Första gången jag hört talas om Decompression bombs..

"This file contains a number of recursively nested ZIP files, to a depth of
5. Compressed it is only 41kB, yet unpacks to 4.5 PB
(4,503,599,626,321,920 bytes) in total."

Och helix verkar bra det med: http://www.forensicswiki.org/wiki/Helix

Men det absolut bästa Anti-forensics verktyget är helt klart Drive crypt plus pack! När du kan gömma hela operativsystemet under fritt utrymme på hårddisken osv..
Sen det här med "safe-deleters"...Vad jag vet så är väl program som eraser safe?
Eller kan man återskapa filer som tagits bort med t.e.x: US DoD 5220.22-M (8-306. /E,C and E) eller Gutmann metoden.
(7 & 35 passes.)

Och ud root-kits är väl också Antiforensics, och ett sätt att motverka granskning?

Ett rootkit är en metod att undvika detektion av försvarssystem.
Forensisk analys görs inte på ett laddat system, så rootkittet kommer inte till sin rätt då det plötsligt inte kan ladda över olika saker.
Iofs kan en del av dem gömma sig på ruggigt smidiga ställen, tror det är hacker-defender som kan skriva ner sig till andra minnen, som finns på t.ex. grafikkort.
Det man söker vid forensisk analys är i det fallet anomaliteter, men det kan göras väldigt svårt. Hur som helst brukar de inte räknas till anti-forensics utan snarare då stelth-verktyg.

En safe-deleter är vad som helst som i det reserverade utrymmet för en fil matar in slumpmässig data mer än X ggr, där X är vad något labb nånstanns i världen påstår sig kunna återskapa.
Notera att det i 99 fall av 100 räcker att skriva över en gång, för det kostar många tusentals kronor att återskapa även små datamängder.

Ett problem är att filnamnen består i filallokeringstabellen, vet inte om det finns något bra smidigt verktyg för att editera den. Platsen som reserverats för dem markeras som ledig, och måste skrivas över för att det alltså inte ska gå att plocka fram namnet på filen igen, även om själva datan alltså blivit förstörd.
Vissa filnamn kan vara nog så inkriminerand
Precis samma sak gäller när man döper om en fil. Det blir en ny nod i filallokerignstabellen, den gamla finns kvar. Heter filen en gång "JagKramarSnobbenPåMinSemester.jpg" får du stå ut med att en utredare kan hitta det i tabellerna sen

Zip-bomben är ett roligt sätt att försäkra sig om att forensics-utredaren när han/hon gör en sökning över natten har en ofärdig sådan att återvända till dagen efter

haha okej;) Visste inte att filer man döper om fortfarande går att hitta.

ah så det går alltså att återskapa filer som skrivits över alltså. Coolt. Jag trodde det hette safe delete pga det inte gick att återskapa. aja, man lär sig alltid något nytt.
Vet att olika file recovery program inte klarar det iallafall.

mm, tufft hur den kan packas upp så mycket.

Bump!

Kom på en sak jag kodade för jäääättelänge sedan (DOS)... en file/freespace wiper, som slängde på random-headers (sector-aligned).

Finns det inget bra sådant program nu? Som skapar ett par valid-looking-headers (arkiv, bilder, körbara filer, etc) när den wipear? Gjorde en snabb googlesökning nu, men.. jag är trött, så.. då är mina googleninjaskills begränsade.

Även om jag kör det mesta krypterat så är det ändå intressant att ge eventuella forensicverktyg massa extra data att kolla igenom. Visst, märks ju snabbt att bilden/arkivet är skadat, men.. det skapar ju ändå "mycket mer jobb" om man ska försöka återskapa/analysera det.

Forensics är intressant, men jag har aldrig satt mig in i det. vet inte hur mycket annat man kan "tjäna på".. (wipea med ascii-only.. få något att se ut som extremt enkelt krypterad text (rot-13-ish).. wipea genom att skapa krypterade arkiv.. skapa andra patterns i wipead data (kortnummer, epostadresser, urler, fejkade directory entries, fejkade bootsektorer, etc..)

False positives ÄR och förblir ett gissel.
Utan att skjuta mig själv i foten genom att ge onödigt med info om delar av det, så om man letar förutsättningslös:
1 - Dumpa minne
2 - Dumpa systeminfo
3 - Elak shutdown (strömmen av), därefter writeblocker och dumpa disken

Nu kommer en period av trisst mängd-arbete. Först "När började symptomen" om det är ett intrång, eller "Finns det specifik info den här personen misstänks ha fått tillgång till".

Har jag en ungefärlig tid inleds allt med att jaga igenom ändringar på disk, speciellt intresse för tempkataloger och dylikt, men även allt i windowskatalogen som har filer uppdaterade inom "rimlig tid" i förhållande till symptomens start. Rätt naturligt.
Är det det senare, med känslig info som personen inte borde ha, blir det t.ex. att klona disken några gånger, sen ha ett par maskiner som står och tuggar igenom binärdatan dag och natt på jakt efter mer eller mindre unika textsträngar som finns i det aktuella hemliga materialet.

Detta kombineras med att köra foremost mot t.ex. det dumpade ramminnet och dyl (carving tool) liksom all text i ramminnet samlas och tittas igenom/söks igenom.

Om du skapar falska filhuvuden och ngn ger sig på att nyttja carving kommer de gråta tårar av blod, speciellt om du låt säga har en 100 MB stor fil, raderar den, ersätter det med ett bildhuvud som säger 100MB-sin egen storlek, därpå följt av ett huvud som säger 100MB-2 huvudens storlek osv osv. Det måste ju generera idiotmycket data med t.ex. just foremost.

Nu gäller det ju att filnamnen verkligen ska bort ur filallokeringstabellen också, så det inte bara blir den där första byten som ändras. Inte för att det är bevis utan data, men ger man bort information ger man både indicier samt hjälper till att målinrikta sökandet efter mer bevis.