针对死取证获取,我们可以使用磁盘加密(例如,我们可以使用 TrueCrypt)。
我想知道是否存在针对实时取证的软件?你能给我一份windows和linux(最流行的)的清单吗?
还有什么其他方法可以保护自己免受这种“攻击”?
例如 EnCase ® Forensic 被执法部门用于现场取证(除其他外)。 http://media.govtech.net/Digital_Communities/Guidance_Software/EnCase_Forensic_for_Law_Enforcement.pdf
我假设您所说的“实时取证”是信息安全社区通常所说的记忆取证,例如。在您的机器处于活动状态和解锁状态时将其取出并继续从中转储所有数据。
您的问题的解决方案将是双重的:
所以对TL;DR为您服务:
“现场取证”需要一个现场系统(duh)。如果有人可以访问您的实时系统,您已经失去了。
如果您真的担心政府机构,那么您应该首先了解您的当地法律和您的(当地)个人权利(因为权利在全球范围内似乎非常不一致),并努力保持在他们的范围内。
编写一个程序,如果有人在您没有先输入密码将该设备列入白名单的情况下将某些东西插入 USB 端口,则该程序会导致立即关闭。确保您使用受限帐户,这样没有管理员密码就无法在计算机上执行任何严重操作(例如转储 RAM 内容的 Linux 命令)。
使用较新的 DDR3 RAM,因为它在断电时会在一毫秒内“忘记”事情。为了增加效果,以某种方式锁定塔式机箱,并可能安装一个按钮,打开时会导致关机。
全盘加密,请确保您使用 Linux。
从《傻瓜计算机取证》一书中,愚蠢地似乎是台式计算机的标准做法,即在尝试任何取证之前拉出电源线并制作 HDD 的图像。如果您按照上述步骤操作,那么由于加密,他们将无法恢复任何内容。
请注意,上述情况不适用于服务器,建议正常关闭。
可选额外:添加脚本以在干净关闭时清除 RAM(Tails OS 使用什么)。虽然如果您使用新的 DDR3 RAM,这不是必需的,但它可能会帮助您睡得更好。
编辑:忘了提到在某些极端情况下,他们可能会用液态空气冻结您的 RAM,这将导致需要数小时才能“忘记”东西。