…nie dla każdego…

Bezpieczeństwo sieci zawsze było kluczową kwestią w obecnym świecie technologii, ponieważ całe środowisko korporacyjne opiera się na Internecie, a aktywa korporacyjne muszą być zabezpieczone, aby skutecznie zarządzać ich organizacjami. Jego zaawansowana technologia ma na celu wdrożenie lepiej zabezpieczonej sieci, aby zapobiegać zagrożeniom i atakom. Zaawansowany system wykrywania i zapobiegania włamaniom (IDS/IPS)  z wbudowaną eksploracją danych, celową analizą i neuronową logiką rozmytą pomaga w alarmowaniu o atakach i zagrożeniach z najmniejszą możliwością fałszywych alarmów. Przeprowadzono liczne badania w różnych dziedzinach bezpieczeństwa sieci i kryminalistyki, aby odkryć lepsze środki obronne przed atakami i zagrożeniami, zwłaszcza w dziedzinie technologii bezprzewodowej. Należy przeprowadzić różne badania, aby zebrać skuteczne dowody z sieci bezprzewodowej . Kryminalistyka sieci jest jednym z wrażliwych obszarów w kryminalistyce cyfrowej, ponieważ dostarcza dowodów umożliwiających identyfikację tożsamości i źródła napastnika. Proces dochodzenia kryminalistycznego tak zmieniła się z tradycyjnej kryminalistyki systemowej na kryminalistyczną na żywo i wprowadziła różne metodologie w celu obrony technik antykryminalistycznych i/lub zmniejszenia ich wpływu na zebrane dowody cyfrowe. W ostatnich latach wzrósł poziom trudności badania ataków sieciowych. Wraz z postępem technologicznym nowe narzędzia są przenośne i poręczne [98], a odpowiednie techniki są opracowywane na potrzeby cyfrowego dochodzenia kryminalistycznego. Ale z drugiej strony przestępcy wykorzystują technologię i znaleźć nowe sposoby udaremnienia procesu kryminalistycznego. Jak wspomniano wcześniej, ze względu na postęp w technikach antykryminalistycznych, gromadzenie i analiza dowodów z sieci komputerowych, które były podatne na ataki, stanowiło duże wyzwanie. Antiforensics nie polega wyłącznie na narzędziach, które pomagają ukryć ślad, ale jest połączeniem technik, taktyk i strategii. Obecny trend w antykryminalistyce pokazuje, że zastosowanie technik przeniosło się z konwencjonalnych obszarów ukrywania danych i usuwania śladów dowodowych i logów w systemach do sieci komputerowych. Techniki, takie jak steganografia sieci, ukryte tunelowanie, blokowanie śledzenia i ukrywanie adresu IP, są obecnie często wykorzystywane przez atakujących w mechanizmie obrony. Poza tym przestępcy próbują zaciemnić śledczych, dostarczając fałszywe dowody, atakowanie narzędzi kryminalistycznych za pomocą zainfekowanych systemów.

Głównym efektem technik antykryminalistycznych jest integralność  i zależność zebranych dowodów. Narzędzia i techniki są wystarczająco solidne, aby zmieniać (modyfikować, usuwać i ukrywać) źródło dowodów i same dowody. W ten sposób walidacja dowodów staje się istotnym czynnikiem w procesie dochodzenia kryminalistycznego. Konieczne staje się weryfikowanie dowodów na każdym etapie procesu poprzez wykrywanie obecności technik antyforensycznych lub stosowanie narzędzi antyforensycznych, zwłaszcza podczas przeprowadzania badań sądowych na żywo. W tym celu opracowane zostaną solidne metodologie i ramy. Skutecznym środkiem zaradczym okaże się integracja inteligentnych analiz, takich jak logika rozmyta i sieci neuronowe , algorytmy i struktury wykrywania antyforenycznego z narzędziami kryminalistycznymi, bezpieczeństwem sieci i systemami monitorowania, takimi jak IDS / IPS.

Obecne funkcje bezpieczeństwa w sieciach komputerowych mają różne wady i luki, które są wykorzystywane przez atakujących. Niewłaściwa konfiguracja systemu, konfiguracja IDS / IPS i reguły zapory to kolejne słabe punkty wykorzystywane do uzyskiwania dostępu do systemów i infrastruktury sieciowej. Kolejnym kluczowym punktem jest kompatybilność infrastruktury sieciowej z obecnymi narzędziami kryminalistycznymi. Najnowsza wersja narzędzi kryminalistycznych, takich jak Encase i Access Data FTK, stara się sprostać postępowi technologii. Te narzędzia włączają techniki kryminalistyki sieci i kryminalistyki internetowej, takie jak analiza sieci, analiza blogów i kryminalistyka poczty elektronicznej .Aby prześledzić ścieżkę ataku, znaleźć źródło i tożsamość atakującego, przydatnych może być kilka metod, takich jak teoria grafów ataku, analiza pakietów i struktury kryminalistyczne Metasploit. Podsumowując, kluczowymi obszarami, w których należy dokonać postępów, są narzędzia do opracowywania sieciowych wykresów dowodów  i wykresów ataków, wykrywania narzędzi ataków antyforensycznych i ograniczania ich skutków , co pozwala na całkowitą utratę integralności.

Klęska na Sycylii była prawdziwym punktem zwrotnym w wojnie peloponeskiej. Od 413 r. p.n.e. wojna przestała być walką między Atenami a Spartą i stała się okazją dla innych do zaangażowania się i zdobycia bogatych łupów. Gruba (ateńska) dama jeszcze nie śpiewała, ale z pewnością się rozgrzewała. Jednak ostatecznie ostateczna porażka Aten była naprawdę podyktowana od wewnątrz

Sieciowe narzędzia do analizy kryminalistycznej

Sieciowe narzędzia do analizy kryminalistycznej (NFAT) pomagają w fazie analizy materiału dowodowego zebranego w ramach procedury kryminalistycznej. Narzędzia te są wykorzystywane zarówno do analizy offline, jak i online, która obejmuje akwizycję w czasie rzeczywistym i podgląd zdarzeń. Większość narzędzi przechwytuje ruch sieciowy, z wyjątkiem NetDetector, który ma wbudowany IDS, a Kismet jest używany głównie w sieciach bezprzewodowych.

Narzędzia do zabezpieczania i monitorowania sieci

Narzędzia do monitorowania sieci to kluczowe narzędzia wykorzystywane do obserwacji anomalii w ruchu sieciowym oraz wykrywania zagrożeń i ataków. Kluczowe cechy narzędzi to analiza protokołów i analiza pakietów.

Flota ateńska w końcu dotarła na Sycylię – dowodzona przez Lamachosa i Nikiasza. Ich pierwszym ruchem było oblężenie wielkiego miasta Syrakuzy, które wspierało Selinous, miasto, które zaatakowało Egestę. Lamakhos został zabity na początku 414 r. p.n.e., pozostawiając Nikiasowi wyłączną kontrolę. Sprawy szły pomyślnie dla Ateńczyków, dopóki Syrakuzańczykom nie ustąpiła grupa Spartan, którzy zostali wysłani na Sycylię za radą – zgadliście – Alcybiadesa! Ateńczycy znaleźli się teraz zablokowani w porcie Syrakuzy i ostatecznie ateńska flota została pokonana. Ateńscy żołnierze próbowali wycofać się przez ląd, ale zostali wymanewrowani i pokonani przez Syrakuzańczyków w 413 r. p.n.e. Skutki klęski były dla Aten katastrofalne. Dowódcy (w tym Nikias) zostali straceni, a wszyscy pozostali więźniowie zostali zmuszeni do pracy w kamieniołomach Syrakuz. Istnienie było przerażające, śmierć nadchodziła jako miłosierne wyzwolenie. W sumie około 7000 ateńskich żołnierzy i marynarzy zginęło lub zginęło w niewoli. Tukidydes mocno wierzył, że niepowodzenie ekspedycji sycylijskiej było prawdopodobnie największą katastrofą, jaką kiedykolwiek doświadczyły Ateny:

. . . ponieważ zostali całkowicie i całkowicie pokonani; ich cierpienia były na ogromną skalę; ich straty były, jak mówią, całkowite; armia, marynarka wojenna, wszystko zostało zniszczone, a z wielu tylko nieliczni powrócili.

Proces kryminalistyki sieci można podzielić na trzy główne fazy.

Faza 1: Dane sieciowe / przechwytywanie ruchu przez monitorowanie sieci

Można to przedstawić jako zbiór dowodów z sieci do analizy. Pozyskiwanie dowodów może odbywać się w trybie offline lub online/na żywo. Istnieje wiele narzędzi i systemów, które można wykorzystać do monitorowania i przechwytywania pakietów. TCPDump i WireShark to dwa najczęściej używane narzędzia do monitorowania. Wykrywanie ataków sieciowych jest podstawowym celem monitorowania sieci. Jest to bardzo trudne zadanie w dzisiejszej technologii internetowej. Bardzo trudno było upewnić się, że atak jest prawdziwie pozytywny, ponieważ wiele ataków jest przeprowadzanych w przebraniu za pomocą narzędzi i technik antyforensycznych. Znaczną ilość pracy wykonano w obszarze wykrywania ataków sieciowych. Niedawne prace nad autonomicznym zabezpieczeniem sieci w celu wykrywania ataków sieciowych to próba wdrożenia niezależnego systemu, który automatycznie identyfikuje włamania bez uczenia statystycznego, wykorzystując metodę klastrowania do nienadzorowanego wykrywania anomalii. Większość systemów IDS wykorzystuje algorytmy eksploracji danych, sieci neuronowe, maszynę wektorów nośnych (SVM), algorytm genetyczny i logikę rozmytą do metod wykrywania behawioralnego i opartego na anomaliach . Algorytmy te pomagają w wykrywaniu nieudanych ataków i fałszywych alarmów . Aby zabezpieczyć sieć przed atakami z zewnątrz, konieczne jest zrozumienie przepływu ruchu sieciowego i zawartości pakietów sieciowych. Monitorowanie treści i kontekstu  to kolejne skuteczne podejście do monitorowania sieci i wykrywania ataków, które obejmuje techniki eksploracji danych i audytu baz danych . Techniki eksploracji danych wykorzystywane w IDS pomagają w analizie wzorców , analizie sekwencji i identyfikacji ataków w skuteczny sposób . Dane wyjściowe z różnych narzędzi do monitorowania sieci to pakiety ruchu sieciowego, takie jak pliki z rozszerzeniem .pcap, które można analizować za pomocą narzędzi kryminalistycznych.

Faza 2: Network Forensics and Analysis

Dowody obejmują pakiety sieciowe, dzienniki zapory, dzienniki IDS, dzienniki systemowe, dzienniki routerów i dzienniki audytu. Zebrane informacje należy udokumentować za pomocą technik, takich jak subwersja OpenSVN . Po przechwyceniu pakietów można je analizować za pomocą różnych narzędzi kryminalistycznych, takich jak WireShark, Encase, Network Miner i Net Detector. Narzędzia kryminalistyczne obejmują również IDS i IPS. System wykrywania włamań sieciowych (NIDS), taki jak SNORT, wykorzystuje algorytmy i techniki dopasowywania wzorców do analizy pakietów sieciowych i wykrywania ataków. Wizualizator ruchu sieciowego na podstawie czasu (TNV) to kolejne narzędzie używane do analizy ruchu sieciowego na przestrzeni czasu. Mechanizmy filtrowania i analiza ID pomagają w identyfikacji zachowań anomalnych . Głównymi dowodami analizowanymi w kryminalistyce sieci są dzienniki uwierzytelniania, dzienniki systemu operacyjnego, dzienniki aplikacji i dzienniki urządzeń sieciowych, które stanowią znaczniki daty i czasu adresu IP i błędów rozruchowych. Jak wspomnieliśmy wcześniej, za pomocą technik antyforensycznych napastnik może usunąć dzienniki dowodów.

Faza 3: Opracowanie wykresów ataku

Aby zbadać ataki sieciowe, znaleźć źródło ataku i napastników, należy prześledzić całą ścieżkę ataku. Ścieżkę ataku można rozwiązać za pomocą inżynierii odwrotnej ataku z miejsca docelowego za pomocą techniki grafu ataku. Korzystając z podatności i konfiguracji systemu jako danych wejściowych, można tworzyć wykresy ataków przy użyciu różnych narzędzi. Ze względu na obecny scenariusz wysokiego prawdopodobieństwa zastosowania technik antykryminalistycznych normalna konstrukcja grafów ataków z konfiguracją systemu i informacjami o podatnościach nie może pomóc w zebraniu wystarczających dowodów i prześledzeniu ścieżki. Dzieje się tak, ponieważ wykres utworzony bez węzłów techniki antyforenologicznej może zaciemniać badacza. Oprócz tych atrybutów, integracja nowego atrybutu, takiego jak baza danych antyforensycznych, która obejmuje wszystkie techniki, może okazać się pomocna w skutecznym generowaniu precyzyjnych i dokładnych ścieżek ataku. Techniki antykryminalistyczne, takie jak technika obstrukcji ścieżki śledzenia, utrudniają tworzenie grafów ataku . Wszystkie fazy muszą być odpowiednio udokumentowane i powinny przedstawiać motyw, strategię, środki zapobiegawcze i zapobiegawcze ataków.

Gdy ateńska flota miała wyjechać na Sycylię, w mieście wybuchł skandal. Najpierw ludzie wyrządzali szkody niektórym hermai, które były małymi posągami boga Hermesa, które kojarzyły się z przynoszeniem szczęścia podróżnikom. Te hermy były wyrzeźbione z penisami w stanie erekcji, a wandale oderwali je wszystkie – au! Związek między posągami a nadchodzącą ekspedycją sycylijską musiał być oczywisty dla Greków, którzy zinterpretowali to jako próbę przeklęcia misji poprzez zbezczeszczenie wizerunków boga podróży. Było to zarówno świętokradcze, jak i uważane za zły omen dla tych, którzy wybierali się na Sycylię, jak się okazało. Niemal w tym samym czasie w ekklezji Alcybiades został oskarżony o zbrodnię drwiny z Misteriów. Wydaje się, że działania Alcybiadesa były jedynie wynikiem życia bogatych, młodych arystokratów, ale konsekwencje były bardzo poważne. Zanim flota ateńska dotarła do Sycylii, dogonił ich posłaniec, aby ogłosić, że Alcybiades został wezwany, by stanąć w obliczu oskarżenia. Jego reakcją było opuszczenie floty i popłynięcie do Sparty, gdzie został doradcą swoich byłych wrogów!

Ataki sieciowe zawsze stanowiły zagrożenie dla technologii internetowej. Ostatnie badania dostarczają dowodów na to, że większość narzędzi i technik antykryminalistycznych była stosowana w normalnych atakach w celu ukrycia tożsamości i źródła atakującego. Techniki te były wcześniej stosowane w tradycyjnej medycynie sądowej. Wraz z rozwojem technologii odkrywane są nowe sposoby ataków przy pomocy technik antyforenistycznych, takich jak ukrywanie danych, zaciemnianie i niszczenie. Ataki sieciowe zawsze stanowiły wyzwanie dla branży bezpieczeństwa i śledczych zajmujących się kryminalistyką cyfrową. Proces ataku sieciowego jest podzielony na pięć etapów w taksonomii Howarda ataków komputerowych i sieciowych. Są to napastnicy, narzędzia wykorzystywane przez atakujących, dostęp za pomocą luk i nieautoryzowani użytkownicy, wyniki ataków i cele. Innym wspomnianym podejściem jest taksonomia Lougha zwana taksonomią walidacji ekspozycji losowości transakcji lokalizacji niewłaściwego warunku (VERDICT), która opiera się na charakterystyce ataków . Wielowymiarowa klasyfikacja z podpoziomami różnych ataków zapewnia dobry przegląd ścieżek ataków i scenariuszy ataków. Większość ataków wykorzystuje luki w zabezpieczeniach infrastruktury sieciowej, systemu lub oprogramowania. Typowe luki w zabezpieczeniach i narażenia (CVE), baza danych luk w zabezpieczeniach (VDB) z punktu widzenia bezpieczeństwa, baza danych luk w zabezpieczeniach typu open source (OSVDB)  i krajowa baza danych luk w zabezpieczeniach (NVD) to repozytoria luk w zabezpieczeniach, które zapewniają szeroki zakres opisów luk w zabezpieczeniach wykorzystywanych do celów dochodzeniowych. . Język luk w zabezpieczeniach i język oceny typu open source (OVAL) oraz wspólny system oceny luk w zabezpieczeniach (CVSS) to dwie standardowe ramy oceny luk w zabezpieczeniach w branży IT . Tradycyjna antykryminalistyka zajmuje się ukrywaniem danych na dysku i wolnej przestrzeni oraz niszczeniem danych i zaciemnianiem danych poprzez modyfikację MACE. Techniki antyforensyczne zostały rozszerzone na infrastrukturę sieciową, taką jak ukrywanie adresu IP przez proxy szyfrowanie pakietów, usuwanie dzienników, steganografia i ukryte tunelowanie. Ze względu na integrację technik antykryminalistycznych w atakach sieciowych ścieżka ataku zidentyfikowana na podstawie analizy kryminalistycznej będzie inna niż pierwotna i będzie trudna do zdobycia. Pierwszym krokiem jest rozróżnienie między atakiem antykryminalistycznym a normalnym atakiem. Normalne ataki można łatwo zidentyfikować, ponieważ nie będzie żadnych niejasności w procesie analizy dowodów i ścieżek ataków. Istnieje wiele metodologii  i podejść sugerowanych w różnych badaniach w celu identyfikacji ataku antysądowego. Wykresy ataków sieciowych Badanie tego rodzaju ataków jest trudne i należy zastosować nowe podejścia, takie jak wykresy ataków. Wykresy ataku można zdefiniować jako narzędzie do obliczania hierarchicznych etapów scenariusza ataku przy pomocy znanych luk w zabezpieczeniach i konfiguracji. Są używane przez administratorów systemów i badaczy do analizowania rodzajów ataków, różnych sposobów ataków oraz środków ostrożności i środków zapobiegawczych stosowanych w przeciwdziałać tym atakom . Proces śledzenia adresu IP nie jest prostym procesem z powodu fałszowania adresu IP i przejętego hosta pośredniego . Zautomatyzowana analiza kryminalistyczna ataków sieciowych z wykorzystaniem wykresów ataków koncentruje się na lepszej analizie dowodów w celu wykrycia ataków . Włączenie węzłów antyforensycznych do wykresów ataku może dostarczyć wystarczających informacji w odniesieniu do zamiaru atakującego ograniczenia generowania dowodów  i daje dwie możliwości śledzenia ścieżki, jeden z normalnymi węzłami ataku, a drugi z węzłami antyforensycznymi. Przedstawiono trzy różne podejścia. Pierwszą jest agregacja ostrzeżeń o ataku, która wykorzystuje korelację alertów opartą na podobieństwie lidera i zwolenników [80], drugą do tworzenia wykresu dowodowego , a trzecią do rozszerzania wykresu ataku w celu zebrania ukrytych członków grupy atakującej. Zautomatyzowana analiza wykresu dowodowego jest wykorzystywana przy użyciu rozmytej mapy poznawczej (FCM). Minimalizacja wykresów ataków przy użyciu różnych algorytmów zapewnia precyzyjną identyfikację ścieżki ataków . Korzystając z wykresów dowodów ataków, śledczy mogą określić istnienie ataków antyforensycznych oraz zidentyfikować narzędzia i techniki stosowane przez atakującego. W ten sposób mogą zrekonstruować scenariusz ataku przy minimalnej ilości dowodów, jakie posiadają. Narzędzia do generowania wykresów ataku

1. Topologiczna analiza podatności na ataki sieciowe (TVA). Generuje wykresy ataków za pomocą algorytmu przeszukiwania grafów. Wykorzystuje grafy zależności do tworzenia warunków wstępnych i końcowych.
2. Architektura planowania bezpieczeństwa sieci (NETSPA). Jest to framework do generowania modeli sieciowych przy użyciu znanych luk w zabezpieczeniach i regułach zapory. Działa to jako źródło generowania wykresów ataków w celu zidentyfikowania potencjalnych ataków i wytyczenia ścieżek.
3. Multihost, wielostopniowa analiza podatności (MULVAL) . Jest to framework do integracji podatności i konfiguracji sieci, który używa Datalog jako swojego języka. Składa się ze skanera i analizatora. Mechanizm wnioskowania, który ma reguły dziennika danych, przechwytuje zachowanie systemu.

Integracja przepływu pracy z wykresami ataków z zarządzaniem IDS przy użyciu VDB i narzędzia do generowania wykresów ataków jest skutecznym środkiem kryminalistycznym . Algorytm analizy zamiarów ataku  zapewnia nową metodę dla kryminalistyki sieci, która pomaga w identyfikacji podobnych ataków do analizy dowodów przy użyciu korelacji alertów i miary podobieństwa na podstawie odległości w celu określenia siły związku między dowodami ataku. Można zasugerować, że integracja analizy intencji ataku z IDS może zapewnić precyzyjne alerty o atakach i identyfikacja dokładnych ścieżek ataków.

Wkrótce po brutalnym oblężeniu Melos Ateńczycy ponieśli jedną z najbardziej upokarzających porażek w historii w ramach nieudanej ekspedycji sycylijskiej. Co zaskakujące, pomimo swojej roli w polityce, która zakończyła się porażką w Mantineii, Alcybiades nadal był niezwykle wpływowy w ateńskiej polityce. Kiedy sycylijskie miasto Egesta poprosiło o pomoc w lokalnej wojnie z sąsiadami Selinous zimą 416r. p.n.e., Alcybiades entuzjastycznie poparł sprawę. Starszy mąż stanu Nikiasz był bardziej ostrożny, ale ponieważ wojna ze Spartą osłabła od czasu Mantinei, ekklesia z radością głosowała za Egestą. Ateńczycy głosowali również, że generałami odpowiedzialnymi za flotę będą sam Nikias, Lamakhos i Alkibiades.

Infrastruktury sieciowe w każdej organizacji wymagają 100% bezpieczeństwa, aby ich zasoby były zabezpieczone przed zagrożeniami. W ten sposób bezpieczeństwo sieci staje się kluczowym elementem środowiska korporacyjnego. Dzisiejsza technologia zapewnia szeroką gamę funkcji bezpieczeństwa, takich jak system wykrywania włamań i system zapobiegania włamaniom (IDS / IPS), zapory ogniowe, zabezpieczenia antywirusowe, honeypoty i komputerowe narzędzia kryminalistyczne]. Nawet jeśli te narzędzia zapewniają wystarczający mechanizm obronny, atakujący są w stanie przeniknąć do sieci. Badanie ataków sieciowych stało się trudne, ponieważ osoby atakujące wykorzystują niedawno opracowane niezawodne narzędzia i techniki antykryminalistyczne, aby ukryć swoją tożsamość i ścieżki ataków  Spoofing IP, śledzenie przeszkód, ukryte kanały, tunelowanie, technologia antyhoneypot i steganografia sieci to tylko niektóre z technik wykorzystywanych przez atakujących w strategii obrony. W ciągu ostatnich 3 do 5 lat techniki antykryminalistyczne były wykorzystywane przez osoby atakujące za niszczenie, ukrywanie i zaciemnianie danych w tradycyjnych systemach komputerowych i urządzeniach pamięci masowej. Zaawansowana technologia pomogła im w rozszerzeniu zastosowania technik antyforensycznych na sieci komputerowe i infrastrukturę sieciową. To sprawia, że ​​proces dochodzeniowy obejmuje gromadzenie dowodów, ich przetwarzanie i analizę bardzo trudne. Aby zapobiegać różnym zagrożeniom i atakom, w różnych węzłach sieci można wdrożyć różne narzędzia do zabezpieczania i monitorowania sieci. Podobnie sieciowe narzędzia śledcze wspierają badanie i analizę ataków oraz pomagają odkryć źródło ataku, analizę dowodów i przedstawić raport dowodowy. Różne sieciowe ramy kryminalistyczne zaproponowane przez Digital Forensics Research Workshop (DFRWS) i innych badaczy, takie jak ramy dla rozproszonej medycyny sądowej, ramy oparte na miękkich komputerach , ramy oparte na honeypot  i wykresy ataków, stanowią wystarczający dowód badań w tym zakresie. obszar . Kluczowym celem jest całościowa analiza narzędzi i technik wykorzystywanych w antyforenyce, kryminalistyce sieci oraz narzędziach do monitorowania i zabezpieczania sieci. Ta ankieta pomoże zbadać szeroką gamę narzędzi stosowanych w kryminalistyce w sieciach komputerowych i antykryminalistyce. Zrozumienie technik i algorytmów wykorzystywanych przez atakujących pomaga w lepszym i właściwym środowisku bezpieczeństwa sieci . W celu pomyślnego wdrożenia solidnej infrastruktury obronnej może to być skuteczny środek. Ankieta jest podstawą do praktycznego eksperymentowania z narzędziami i technikami. Najpopularniejszym frameworkiem antyforensycznym są narzędzia ramowe Metasploit, takie jak Timestomp i Slacker. Techniki antykryminalistyczne, takie jak ukrywanie danych, szyfrowanie, niszczenie, zaciemnianie i wymazywanie danych mogą być testowane w sieciach. . Głównymi platformami używanymi do implementacji powyższych technik są Windows 7 i Linux Back Track 5 R2. Większość narzędzi można uruchomić na wielu platformach, nawet w najnowszym systemie Windows 8. Analiza technik jest przeprowadzana za pomocą narzędzi kryminalistycznych, takich jak Encase, Access-Data Forensic Tool Kit (FTK) i Internet Evidence Finder. Identyfikacja technik antyforensycznych i ich wpływu na dowody sieciowe jest kluczową częścią analizy eksperymentalnej, a tym samym pozwala wydedukować skuteczne środki zaradcze w celu poprawy bezpieczeństwa sieci. W tym rozdziale omówiono główne metodologie, algorytmy i techniki stosowane przez śledczych zajmujących się kryminalistyką cyfrową.

Po wybuchu oblężenia i w posiadaniu miasta przez wroga, to co nastąpiło często było straszne. Masakra wszystkich więźniów stawała się coraz bardziej powszechna podczas wojny peloponeskiej, ponieważ sama wojna stawała się coraz bardziej brutalna. Te zabójstwa były często powodowane brakiem żywności; ograniczone zasoby uniemożliwiały przetrzymywanie więźniów. W innych przypadkach zabójstwa miały uniemożliwić zaangażowanemu miastu szukanie zemsty. Jeśli można było zawrzeć umowę między napastnikiem a oblężonymi obywatelami, to często tak było. Na przykład spartańscy więźniowie zabrani w Sphacteria przez Kleona i Demostenesa  zostali zabrani tylko dlatego, że byli naprawdę użytecznym narzędziem negocjacyjnym. Czasem oczywiście wygrywało broniące się miasto. Oblężenie było długim, żmudnym procesem i czasami atakującym najpierw kończyły się zapasy (i energia). Jednak najczęściej to atakujący wygrywali, a obrońcy ponieśli konsekwencje. Wojna, podobnie jak samo życie w starożytnym świecie, była okrutną i brutalną sprawą. Ateńska zaraza z 430 r. p.n.e. jest dobrym wskaźnikiem tego, jak śmierć była zawsze możliwą dla starożytnych Greków. Podczas gdy trudności związane z pozostaniem przy życiu w żaden sposób nie usprawiedliwiają morderstw z zimną krwią, które często miały miejsce, biorąc pod uwagę trudne codzienne życie starożytnych Greków pomaga rzucić światło na rodzaj sposobu myślenia, który ukształtował życie lub… decyzje śmierci na polu bitwy.