跳到主要內容區塊

ntuccepaper2019

技術論壇

淺談電腦鑑識(上)
  • 卷期:v0026
  • 出版日期:2013-09-20

作者:胡洋 / 計算機及資訊網路中心資訊網路組研究助理


法庭是講究證據的地方,而電腦鑑識就是在電腦上找數位證據的一種方法。我國近年來已陸續通過或修正諸多與電腦相關之法令,這些法令之相關證物皆需透過電腦鑑識活動來蒐集。本文之目的在解說電腦鑑識之基本概念,讀者有這些概念後,將有助於第一時間做出正確應變及避免毀壞重要電子跡證,以利後續調查作業。

 

 電腦鑑識概述
我國近年來已陸續通過或修正諸多與電腦相關之法令,如刑法、個人資料保護法等,並於刑事警察局、法務部調查局等成立電腦鑑識專門部門,為使當發生電腦相關犯罪時,能於電腦中取得證據,以協助檢察官進行後續訴訟程序。

 

但由國家成立的電腦鑑識機構是針對刑事相關案件調查而設置,若訴訟的對象為民事案件,則相關人員或機關需自行委託民間單位處理,其調查費用極高,如近期通過的個資法即分為刑事責任與民事賠償兩部分。在民事部分,若被告發生個資外洩且無法提出個資妥善管理證據,則極有可能付出高額的民事賠償。

 

電腦鑑識中,我們需找出數位證據,以還原事件發生的原貌,此作業約可分為三大步驟:首先為取證作業,其次為動態鑑識,最後為靜態鑑識。這三項作業都須在不破壞原始證物的情況下進行,意即無論民間或是執法機關都須在相同的證物下取得相同證物,依著案情偵辦的進度,有可能將原民事案件轉為刑事案件,在此種鑑識方法下,證物的證據力將不受影響。

 

複製證物
早期電腦鑑識取證作業多直接於證物電腦內操作,直接翻找磁碟或檔案。此作法會衍生一問題,即直接破壞證物的完整性。資安或個資事件發生後,任何對證物翻找的動作都會改變證物原始結構,原始證物更動幅度越大,其證據力會越低。為避免原始證物遭破壞,專家們大多會使用完整硬碟對拷的技術(Sector by Sector),將證物硬碟完整複製至新硬碟,再檢視新硬碟中資料,避免破壞原始證物。另一種方式是將硬碟資料轉換為E01檔案格式,此種格式檔案為將原有硬碟之資料,完整轉換為檔案格式,並有完整之檔案檢核作業,確保證物檔的完整性,以提供後續調查作業的彈性。目前已有許多免費軟體能進行此作業,如FTK Imager Lite。

 

取證作業完成後,調查人員手上即擁有與原始證物內容一致的硬碟或檔案,接下來即可進行分析作業。針對證物的特性,分析可由兩個面向進行,分別為動態資料鑑識及靜態資料鑑識,本文先介紹動態資料鑑識。


 

Art editor Img
硬碟複製機(資料來源: http://www.tableau.com/)

 

動態數位鑑識
依電腦系統運作特性,部分證物(如惡意程式)需在電腦開機運行下才會產生,針對此類型證物,則需以動態數位鑑識才能進行取證作業。

 

動態數位鑑識就是讓靜態的程式碼運作,並在程式碼運作過程中分析其行為,以確認是否與調查的方向一致。如針對專門竊取信用卡資料的惡意程式,在其靜態時,調查者看到的可能是一個程式執行檔,但程式一經啟動後,即能在記憶體及網路行為中發現該程式的活動,如修改或是傳送信用卡資料等。

 

動態數位鑑識的工具如RSA 公司的Silicium Security ECAT (如下圖所示),該工具可將所有在記憶體內的程式進行惡意現象的分析及排名,並依嚴重程度由大至小排序,調查人員即可快速發現問題程式,進而鎖定與分析。

 

Art editor Img
動態鑑識軟體(資料來源: http:// http://www.siliciumsecurity.com/)

 

結論
本文為基礎電腦鑑識之上集,透過本文,我們希望在資安與個資事件發生後,相關人員能第一時間做出正確應變,以利後續調查作業進行。下集則將說明更困難之靜態分析,讀者在瞭解靜態分析之功能與技術後,將對電腦鑑識有更全盤性之瞭解。