目前在UNIX系统中使用最广泛的取证分析工具是由Dan Farn1er和Wietse Venema开发的The Coronor’s”Toolkit,即TCT工具包.尽管TCT工具包的功能非常强大,但TCT工具包存在一个致命的缺陷,该缺陷源于它在实现时有两个致命的错误:一个错误是认为数据块不能分配给根i节点之前的任意i节点:另一个错误是没有考虑到坏块i节点.这样使得TCT工具无法检查入侵者隐藏在磁盘的某个特定区域上面的数据.Runefs就是一个利用TCT工具包的缺陷而在
UNIX环境下开发成功的数据隐藏工具.
下面是一个使用runefs工具包建立、使用隐藏空间的具体实例:
1、第一步.建立隐藏空间
#df—k/dev/hda6
Filesystem 1 k—blocks Used Available Use% Mounted
on
/dev/hda6 1011928 20 960504 1% /mnt
# . /bin/mIkrune —v}dev/hda6
+ + + bb blk + + +
bb blk一>staf = 33275
bb blk一>end = 65535
bb_ blk一>group = 1
bb blk一>size = 32261
+ + +
rune size:126M
#df—k/dev/hda6
Filesystem l k·-blocks Used Available Use% Mounted
0n
/dev/hda6 1011928 129196 831328 14% /mnt
#e2fsck —f/dev/hda6
e2fsck 1.26 (3一Feb一2002)
Pass 1:Checking inodes,blocks ,and sizes
Pass 2:Checking diredory strudure
Pass 3:Checking directory connectMIy
Pass 4:Checking reference counts
Pass 5:Checking group summary information
Idevlhda6:11/128768 files (0.0% non — configu—OUS),36349/257032 blocks#
上面的操作演示了如何在磁盘上分配126M的隐藏空间、该隐藏空间如何被内核注册.
2、第二步:使用隐藏空间
#cat readme.tools I./bin/Funewr/dev/hda6
#./bin/runerd/dev/hda6 > f
#dif f reed me.tools
#
上面演示了如何在隐藏空间中读写数据.
3、第三步:验证TCT工具无法看到隐藏空间
#./icat/dev/hda6 1
/icat.invalid inode number.1
高人解释下!
