ntuccepaper2019

作者：李墨軒 / 臺灣大學計算機及資訊網路中心資訊網路組研究助理

---

在這個資訊發達的時代，所有的文件、通訊都邁向電子化。各種數位裝置中的資料都可以做為事件的依據。了解數位鑑識能夠更加清楚電子裝置中的行為與記錄，在事件發生時可以更快的找尋到蛛絲馬跡。

 

數位鑑識簡介

數位鑑識是尋找和解釋電子數位的過程。這一過程的目標是在進行結構性調查時保留最原始形式的任何證據，通過收集、還原和驗證數位資料來重建過去的事件。

 

檔案與證據

這裡提到的證據與傳統證據不同，俗稱「數位證據」。它是以數位形式存儲或傳輸的，是在法庭上用作證據的數位電子信息。它具有以下特點：

 

1. 難以蒐集與保存
如果你得到的是硬碟中存的信息，因為證據是以數位形式存儲的，你必須依靠相關的硬體和軟體技術才能獲得。至於保存方法，還需要使用數位存儲介質來存儲或讀取，諸如USB隨身碟、硬碟、光碟等。
這些存儲介質只要受到磁力、潮濕、甚至外力的破壞，就可能導致損壞，使得數據資料無法讀取。

 

2. 不能直接理解
數位存儲的原始形式是0和1，要理解一連串的0001010101010111110是什麼意思，隱含的內容是什麼？都必須要經由電子設備來檢視。

 

3. 易於復制竄改與刪除
對於每次讀取一個文件，都可能會改變資料的內容或狀態。例如：在未遭受保護的裝置上的文件，任何人都可以輕鬆地複制和刪除。在裝置系統中有一點常識的人甚至知道，刪除資料都只是會切斷路徑的連結，並不是真正的把文件從硬碟上清除，實際上文件仍然存在硬碟上。直到被其他文件覆蓋，或將硬碟完整的格式化，才會完全從硬盤上消失。

 

4. 難以證明來源和完整性
與普通犯罪不同，犯罪人與犯罪現場通常是分離的。例如：如果犯罪者將含有病毒的圖片隱藏在網際網路上，那麼在網際網路上瀏覽圖片的人的裝置可能會受到病毒入侵，所以可能的受害者遍布世界各地，只要瀏覽過該張圖片的使用者都有可能會中毒。

 

5. 難以建立連結
如上所述，犯罪者與犯罪現場通常是分開的，甚至有的犯罪分子利用侵入他人的裝置進行犯罪活動。在這樣的情況下，要將犯罪者與犯罪活對連結就需要更多的證據。
在數位裝置越來越普及情形之下，了解數位鑑識不失為一個保護自己的方法，在下面的章節中，將會介紹數位鑑識的方法。

 

數位鑑識的步驟

 

 

1. 鑑定
所有數位鑑識都以識別開始。在做其他事情之前，確定資料的存儲位置很重要。在過去，調查人員在文件櫃中找到了他們需要的資料。今日資料幾乎都是電子的。資料存儲在裝置和伺服器的硬碟、隨身碟、網路上的設備。 第一次到達現場時，要評估所處的環境，並考慮所有可能存儲資料的設備。了解整個環境及其中包含的內容有助於理解鑑識人員正在處理的被稱為「文件」的證據。可以想像的，不同的設備和存儲手段或資料傳輸會留下不同類型的紀錄。發現的越多，事件的脈絡就越清晰。

 

2. 保存
保存是數位鑑識過程中至關重要的一部分，它在很大程度上取決於鑑識人員的行動。為什麼保存證據如此重要？因為沒有誠信，一些證據在法庭上就失去了價值或「可接受性」。這就是為什麼確保證據不變並保存在原始狀態非常重要的原因。
通常，在鑑識過程中會將證物編號，調查過程中的另一個常見做法是建立一個正在檢查的資料或設備的取證圖像。簡而言之，它會創立資料的副本。然後，鑑識人員可以在保留原始資料完整性的同時對該副本進行調查和分析。 工作中會進行錄影，並留下照片及書面記錄。保持這些行動的過程對於解釋為什麼要以某種方式進行某種行動或處理證據是非常重要的。

 

3. 復原
幾乎所有的鑑識過程中，都有一些復原過程。包括從正常的操作系統進行復原、復原已刪除的文件、故意刪除的文件、密碼保護的文件、甚至部分毀損或完全損壞的文件。有很多復原這些文件的方法，鑑識人員會盡可能地使用多種方法來復原文件，以便盡可能地了解事件的脈絡。一旦確定和復原(同時保持完整性)所需的證據，就可以開始分析。

 

4. 分析
分析是調查的重點。這是需要所有的專業知識和技術的地方。鑑識人員通常會使用幾個軟體來查看常見的事件位置，例如：記憶體、註冊表、事件日誌和瀏覽器歷史記錄。此外，使用其他程式和手動分析來查看隱藏的內容甚至操作被保護的文件。
再次，這裡的關鍵是收集盡可能多的文件，並且經常有許多的文件被發現。實際上，在裝置上執行的任何操作都可以在不同的位置創建最多五個事件。一個很好的例子就是一個簡單的Google搜尋。每當使用者搜尋一些東西的時候，它不只是記錄在瀏覽器歷史；還有一個指向該搜尋的協調註冊表事件。根據裝置的配置，這種搜尋記錄可能會出現在使用者所擁有的每個設備上。例如：像Skype這樣的軟體將跨所有設備同步聊天記錄。使用這些各不相同的證據，可以發現鑑識人員所追求的清晰的事件脈絡。

 

5. 報告
最後，一旦完成檢查，就可以以案例報告的形式呈現結果。鑑識人員記錄的所有文件都將被寫入這個最終報告中。鑑識人員收集的所有資料都希望能夠得出一些明確的結論。即便如此，接下來發生的事情也不一定是鑑識人員所能接受的。證據是否足以促成一些行動？請問這個案子是否適用於法庭？事實上，作為一名鑑識人員，這並不重要。唯一重要的是清楚而簡明地陳述事實，這是數位鑑識的最終目標。

 

結論

現在這個資訊發達的時代，證據已不像以前一樣都能夠看得見，電腦裡的資訊也能夠成為法庭上的證據。數位鑑識主要是針對數位裝置中的內容進行調查。數位鑑識可以幫助人們了解裝置中的行為，包括使用者的行為與網路間的行為。了解如何保存與分析自己裝置中的訊息，是數位鑑識中不可或缺的技術。