• 沒有找到結果。

數位鑑識實驗室建構芻議

4.3 鑑識實驗室環境需求

立 政 治 大 學

Na tiona

l Ch engchi University

(2). 鑑識分析實務經驗分享:由鑑識分析組舉辦,分享實際案例鑑識分析過 程及成果;技術研發組可從實際案例遭遇之困難尋找或開發新工具;現 場鑑識組可瞭解後端鑑識分析作業,藉以改善現場蒐證時之項目或方 法。

(3). 現場蒐證標準流程教育訓練:由現場鑑識組舉辦,目的為訓練新人熟悉 現場蒐證流程,或於標準流程異動後使其他兩組瞭解蒐證標的或流程變 動內容,並於困難處提供工具支援需求給予技術研發組。

4.3 鑑識實驗室環境需求

當實驗室取得數位證物之後,鑑識分析人員須按照實驗室規範製作數位證物複本,

以供後續鑑識分析使用。基於數位證物易於被破壞之特性以及相關實務經驗,本研究建 議鑑識分析人員將來源數位證物(Source)以複製硬碟最小單位(Sector)之方式,藉由數 位鑑識專用之硬碟複製機(接來源數位證物之端口為防寫)複製至經完全抹除(Wipe)之 另一顆硬碟中,待複製完成並確認複製工具無錯誤訊息後,將來源數位證據妥善封存至 證物儲存區之中。接下來將複製完成之複本證物(Clone)再製作出證據映像檔(Image),

完成後亦將複本證物妥善存放於證物儲存區。簡而言之,每個來源數位證物(Source)都 將製作出一個複本證物(Clone)以及一份證據映像檔(Image)。因證據映像檔(Image)通 常皆有雜湊值及循環冗餘校驗(Cyclic redundancy check ,CRC),可確保後續之鑑識分 析作業不會影響到數位證物本身資料,故鑑識分析人員須以證據映像檔(Image)為主要 分析對象。下圖為鑑識實驗室各區域作業內容及說明[12][15][19]:

立 政 治 大 學

Na tiona

l Ch engchi University

於公文袋之表面,以供鑑識分析人員或案件管理人員辨別該數位證物屬 於哪個專案。

(4). 封存過程須以攝影機或既有監視器做紀錄。

4. 證物儲存區

本區應與上述各區有管制之實體區隔,並分為兩個區域:

(1). 原始證物儲存區:專門存放原始數位證物,應為該鑑識實驗室之最高權 限方可存取,具備可上鎖或相關出入管控機制,避免不當存取。

(2). 複本證物儲存區:將完全複製於原始硬碟之證據複本或證據映像檔存放 於本區,供鑑識分析人員取用以進行鑑識分析作業。

5. 鑑識分析區

應有專門用於鑑識分析之電腦主機,並安裝通過國際檢測機構之鑑識分析 工具,鑑識主機應限制只有鑑識分析人員擁有帳號可進行操作並僅能分析 證據映像檔,最後由鑑識分析人員於本區產出鑑識報告。本區亦須使用獨立內 部網路隔絕連結外部網路,或停用網路,避免安全性問題產生。

6. 耗材及其他工具區

存放拆卸、媒體介面轉接等相關工具,並應具備兩具以上之有效消防器材。

下表為整理鑑識實驗室主要區域建議應有之軟硬體設備 表 4.1 各主要區域建議設備

區域名稱 軟硬體設備

1 攝影紀錄區  攝影機(含記憶卡)或監視攝影機

 腳架

立 政 治 大 學

Na tiona

l Ch engchi University

第五章

相關文件