• 沒有找到結果。

數位鑑識作業處理建議流程

5.2 蒐證現場建議作業流程及說明

立 政 治 大 學

Na tiona

l Ch engchi University

5.2 蒐證現場建議作業流程及說明

完整之蒐證現場建議作業流程如下圖所示,現場鑑識人員可考量現場環境及所擁有 之鑑識設備,採取本研究所建議之適當方法完成蒐證作業,以下將針對作業流程各個項 目進行說明[6][16][17][20]。

圖 5.2 蒐證現場建議作業流程

立 政 治 大 學

Na tiona

l Ch engchi University

1. 記錄現場現況

攝影記錄人員應以錄影或拍照方式記錄現場,建議記錄連續動作時時可考 量運用動態之影像,藉此說明動作前後關係;記錄設備序號或外觀等靜態 畫面則建議使用拍照方式,以下為記錄現場現況時應注意之要點:

(1). 於拍攝記錄前勿觸碰或移動現場相關數位證據。

(2). 應記錄標的設備與其它數位證據之所在位置及設備資訊彼此遠近或是 否接入主機等關聯,如電腦設備及週邊設備、筆記型電腦、可攜式儲存 媒體、光碟片、隨身碟及記憶卡。

2. 維護現場完整

(1). 攝影記錄人員應要求案件現場相關人員停止操作作業,如該數位證物處 於開機情況下,請勿關機,反之亦然,以避免異動數位證物原始狀態。

(2).

數位證物是否為開機狀態之判斷應以不改變其狀態為優先考量,例如 部份筆記型電腦蓋上螢幕即進入休眠模式,打開則回復運作,故此例中 現場蒐證人員應先詳實記錄是否為休眠狀態後,再與現場鑑識人員評估 蒐證進行方式。

(3). 攝影記錄人員應協助管制事件現場,針對涉及資安事件之數位證物週遭 人員進行疏導作業,並填寫進出管制表,描述管制現場人員進出之緣 由。另應確保非業務承辦人員或未取得部門權責主管授權之人員不得進 出管制現場。

3. 揮發性資料蒐集

立 政 治 大 學

Na tiona

l Ch engchi University

(1). 如數位證物處於開機狀態下,現場鑑識人員應使用現場數位證據蒐集工 具取得揮發性資料,以避免部份儲存於記憶體中之重要資料因斷電而消 逝不見,蒐集項目如下[18]:

A. 目前登入至系統之使用者資訊。

B. 目前所開啟網路連線埠資訊。

C. 目前執行之系統程式資訊。

D. 目前系統程式所建立網路連線資訊。

E. 記憶體資訊。

F. 系統效能資訊 G. 已啟動之服務 H. 已開啟之檔案

I. InPrivate 瀏覽(或無痕視窗)

圖 5.3 非揮發性及揮發性資料整理

立 政 治 大 學

Na tiona

l Ch engchi University

L. 所設定關鍵字搜尋之相關檔案紀錄。

(2). 除了上述所提及之數位證物相關非揮發性資料外,針對該數位證物所關 聯之防火牆設備、入侵偵測或防禦設備、紀錄保存及事件分析設備、防 毒設備、流量控管或線路監控設備、應用系統及資料庫等設備,其稽核 日誌檔案也需要匯出成檔案格式後進行證物封存。

(3). 進行非揮發性資料蒐集時,現場鑑識人員應透過現場數位證據蒐集工具 方式自動執行蒐證作業,避免人為操作錯誤導致證據能力遭到質疑。

(4). 非揮發性資料蒐集完畢後,現場鑑識人員應透過現場數位證據蒐集工具 自動產生其對應之雜湊運算值,作為後續比對檔案完整性之依據。

(5). 進行非揮發性資料蒐集作業時,應確保現場鑑識人員具備一定專業能 力,且對於所採取的每一個動作都必須能解釋其動機、目的與關聯性並 紀錄所有操作步驟。

5. 若該數位證物處於開機狀態,現場鑑識人員須詢問及判斷是否可以關閉電源並 攜回。作業系統之正常關機程序會導致部份證據被竄改之可能,故經評估後可 以關機時,現場鑑識人員應直接拔除電源。

6. 是否可執行封包側錄:若資安事件所涉及之數位證物異常現象持續發生且無法 關機及攜回時,現場鑑識人員應先徵詢相關單位同意後,進行網路封包或其他 相關資訊側錄以留下更多資訊。

7. 管制相關人員接觸或使用主機:待相關蒐證處理程序完成後,應避免任何未經 授權人員再操作或使用該主機。

8. 數位證據是否可攜回

立 政 治 大 學

Na tiona

l Ch engchi University

(1). 如該數位證物於可關機情況下,並可取出其儲存媒體或有其他外接式儲 存媒體存在時,現場鑑識人員應詢問相關人員及判斷是否可取出儲存媒 體並攜回。

(2). 如數位證物於可關機情況下,但無法取出其儲存媒體時,現場鑑識人員 應詢問相關人員及判斷是否可攜回完整電腦設備。

(3). 攝影記錄人員應以錄影方式記錄儲存媒體取出之步驟,並以拍照方式記 錄該儲存媒體之型號序號等資訊。

9. 現場製作儲存媒體複本

(1). 如數位證物於可關機情況下並可取出其儲存媒體,但不能將其儲存媒體 攜出時,現場鑑識人員除執行「揮發性資料蒐集」及「非揮發性資料蒐 集」外,應直接於現場透過儲存媒體複製設備進行儲存媒體複本製作作 業。

(2). 因證據映像檔製作較複本製作稍久,唯恐現場蒐證時間不足,故建議現 場以製作儲存媒體複本為優先完成項目,待攜回儲存媒體複本後再於鑑 識分析環境內進行證據映像檔製作。

(3). 攝影記錄人員應以錄影方式記錄儲存媒體複本製作之步驟

(4). 儲存媒體複本製作完畢後,現場鑑識人員應產生其對應之雜湊運算值,

作為後續比對檔案完整性之依據。

10. 證據封存

(1). 現場鑑識人員應確實清點攜回之數位證據項目及數量,並針對每一項數 位證據分別紀錄,完成後請現場相關單位代表簽名。

立 政 治 大 學

Na tiona

l Ch engchi University

(2). 攝影記錄人員應將要封存之數位證據及封存步驟進行錄影拍攝作業。

11. 證據運送:攝影記錄人員如要進行數位證據運送作業時,應確保運送過程中,

不會對數位證據造成損害,另應注意證據監管鏈之完整性。

相關文件