數位鑑識實驗室建構芻議及建議分析作業流程 - 政大學術集成

全文

(1)國立政治大學資訊科學系 Department of Computer Science National Chengchi University. 碩士論文 Master’s Thesis. 立. 政治大. ‧ 國. 學 ‧. 數位鑑識實驗室建構芻議及建議分析作業流程 er. io. sit. y. Nat. n. al A Study on the Construction i v of Digital Forensics Ch Un engchi. Laboratory and on the Suggestions about Forensic Analysis Process. 研究生：許晉銘指導教授：左瑞麟. 中華民國 103 年 7 月 18 日.

(2) 國立政治大學研究所碩士班論文口試委員會審定書本校. 資訊科學系. 許晉銘. 同學. 所提論文數位鑑識作業建議流程及實驗室建構芻議. 立. 政治大. ‧ 國. 學. n. al. er. io. sit. y. Nat. 口試委員：. ‧. 合於碩士資格水準、業經本委員會評審認可。. Ch. n engchi U. iv. 指導教授：. 系主任：. 教授. 中華民國 103 年 7 月 18 日 2.

(3) 數位鑑識作業建議流程及實驗室建構芻議. 摘要隨著個人資料保護法即將正式實行，許多國內相關單位開始重視數位鑑識，以處理及因應未來與日俱增之資訊安全事件。數位鑑識實驗室的建置目前尚未有各國皆遵循的標準和流程，國內鑑識人員大多僅能按照所屬組織的規範和建議流程進行鑑識作業。本論文將藉由參考國際針對一般實驗室訂定的 ISO17025 及數位鑑識相關實務經驗，提出符合規範和適合實際政治大立. ‧ 國. 學. 鑑識流程的鑑識實驗室建構及處理標準之建議。 ‧. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. With the Personal Information Protection Act will be formally implemented, many organization pay more attention to digital forensics to face information security events growing. But there is no standards and processes to build a digital forensics lab and investigators can only follow their teams’ specifications and process. This paper will give suggestions about the structure of digital forensics lab and standard operation process of digital forensics base on ISO17025 and practical experience.. 3.

(4) 致謝在政大資科所的這幾年，感謝左瑞麟教授的指導和耐心，對我來說，並非僅僅完成一個學位上的里程碑，還有學習態度和思考邏輯上的成長。另外，也感謝口試委員王旭正教授、詹前隆教授、陳以德教授以及高大宇教授在百忙之中給予指導及建議，使得本論文得以完善。最後，一直支持我從考試到畢業的家人，你們一直都是我繼續前進的動力和助力，感謝這幾年來的包容和支持，我才能堅持到最後，謝謝你們。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. 4. iv.

(5) 目錄第一章緒論 ........................................................................................................................................... 6 1.1 研究動機 ...................................................................................................................................... 6 1.2 研究目的 ..................................................................................................................................... 6 1.3 研究限制 ..................................................................................................................................... 7 第二章文獻探討及理論基礎 ............................................................................................................... 8 2.1 數位證據 ..................................................................................................................................... 8 2.2 數位鑑識 ..................................................................................................................................... 9 2.3 數位證據鑑識標準作業程序 .................................................................................................... 10 2.4 鑑識實驗室認證相關國際標準簡介 ....................................................................................... 12 2.5 國內數位鑑識實驗室建構規範及研究 ................................................................................... 17 治. 立. 政. 大. ‧ 國. 學. 第三章研究方法 ................................................................................................................................. 20. ‧. 3.1 研究方法 .................................................................................................................................... 20. er. io. sit. y. Nat. 第四章數位鑑識實驗室建構芻議 ..................................................................................................... 21 n. al v 4.1 鑑識實驗室人員架構及職掌 .................................................................................................... 22 ni C hengchi U. 4.2 人員資格與內部教育訓練 ........................................................................................................ 24 4.3 鑑識實驗室環境需求 ................................................................................................................ 26 第五章數位鑑識作業處理建議流程 ................................................................................................. 30 5.1 現場蒐證作業前置準備階段作業內容及職掌建議 ................................................................ 31 5.2 蒐證現場建議作業流程及說明 ................................................................................................ 34 5.2 鑑識分析作業建議流程及說明 ................................................................................................ 40 第六章結論與建議 ............................................................................................................................. 45 6.1 結論 ........................................................................................................................................... 45 6.2 研究比較與研究貢獻 ................................................................................................................ 46 6.3 未來研究方向 ........................................................................................................................... 47 第七章參考文獻 ................................................................................................................................. 48. 5.

(6) 第一章緒論 1.1 研究動機 1991 年在波特蘭的國際電腦專家協會(International Association of Computer Specialists，IACIS) [1]首次出現電腦鑑識這個名詞之後，隨著資訊時代的快速演進，電腦鑑識早已經不單侷限在個人電腦，凡是任何對案件有幫助的檔案甚至隻字片語，都有可能影響數位鑑識專案之分析結果，而這些線索甚至數位證據往往存在於龐大硬碟中的某一檔案或未分配空間(Unallocated area)之中，數位鑑識人員必須妥善利用數位鑑. ‧. ‧ 國. 學. 政治大識工具以及操作步驟或流程方法，才能確保完成數位鑑識作業。若因鑑識工具功能不足立或流程錯誤導致錯失重要證據，往往影響鑑識分析結果甚或導致該案件證據不足而無法歸責之情況發生。但數位鑑識人員面對各式各樣的鑑識工具，與其熟悉每樣鑑識工具操 sit. y. Nat. n. al. er. io. 作方式，數位鑑識人員更需要知道的是如何藉由一個符合規範的鑑識流程並在設備完善的實驗室內完成鑑識作業。. Ch. n engchi U. iv. 目前國內大多數執行鑑識分析作業之實驗室皆無完整之鑑識分析建議流程，僅依靠鑑識分析人員自身之分析知識及對鑑識工具之認知，獨力完成鑑識分析專案。鑑識實驗室之成員組織及環境需求亦未能有符合鑑識分析實務之建議可供依循。. 1.2 研究目的本論文之研究目的即是以鑑識分析研究實務為基礎，輔以相關國內外實驗室標準，提出從數位鑑識實驗室自收件開始至最後產出報告之鑑識流程，並針對數位鑑識實驗室應有之作業環境提出建議，使上述兩者皆能合於鑑識原則和既有標準，希望藉此讓數位鑑識人員在執行數位鑑識作業時能有參考依據。. 6.

(7) 1.3 研究限制本研究之限制如下： 1. 國內法令並未針對數位證據之證據能力制定相關檢核標準，民間鑑識實驗室為求數位鑑識分析作業所產生之數位證據於法庭上受採信，須有更為嚴謹且妥善之鑑識分析流程及完善之分析環境。故本研究較適用於民間鑑識實驗室環境與組織架構之建置。 2. 隨著科技發展，資訊設備雖已不限於電腦設備，舉凡能提供運算、儲存或通訊之媒介皆有可能因與案情相關而需要分析其電磁紀錄，惟本研究所提供之鑑識. ‧. ‧ 國. 學. 分析建議僅針對一般案件所需執行之鑑識分析作業，如行動裝置鑑識分析、網政治大立路鑑識分析等項目並不包含於本研究之中。. er. io. sit. y. Nat. 3. 鑑識實驗室若有於無塵室還原硬碟資料或其他使用特殊軟硬體設備需求時，須 n. 另規劃實驗室相關流程，本研究僅以 ISO17025 為基礎，提供一般鑑識實驗室收 al iv Ch. 件及取證之流程建議。. n engchi U. 4. 鑑識分析作業進行時會因使用之鑑識工具不同，而有不同的處理步驟，本研究所建議之鑑識分析流程已囊括大多數位鑑識案件需要之工具功能，並依照實務經驗建議出各功能執行之先後順序，惟案件種類繁多，若鑑識人員無法藉由本研究之建議流程找出數位證據，則須另行針對案件特性或需求執行數位鑑識工具相應功能，以完成鑑識分析作業。. 7.

(8) 第二章文獻探討及理論基礎 2.1 數位證據隨著資訊電子產品大量普及，電子犯罪事件日益頻繁，但大多數人的理解仍停留在數位證據即是電腦證據。有國外學者 Casey[2]定義數位證據係指儲存於數位媒體或藉由數位媒體傳送之數位資料中，任何足以證明與案件相關之行為、意圖或其他能協助釐清案情之數位資料。簡言之，數位證據為數位資訊儲存媒體中所存在之電磁紀錄，該電磁紀錄可提供案件內之相關證明[3]。我國刑法第十條第六項中，對於電磁紀錄之定義為：. ‧. ‧ 國. 學. 政治大「以電子、磁性、光學或其他相類似之方式所製成，而供電腦處理之紀錄，稱之為電磁立紀錄」。Casey 亦提出數位證據之三種特性[1]：. er. io. sit. y. Nat. (1). 易於複製與修改，但不易保留其原始狀態 a. n. iv l C hengchi Un (2). 不易證實其來源及完整性. (3). 無法直接以人的知覺瞭解其內容由於數位證據之上述前兩樣特性，數位證據的取得和保存成了數位鑑識相當重要的一部分，執行數位鑑識分析作業之人員需要有專業的數位證據認知，且須善用軟硬體資源進而提供完整的、正確的數位證據。數位鑑識人員於蒐集數位證物時有下列基本原則必須遵守[4]： (1). 務必於不異動數位證據之情況下取得數位證據內容 (2). 鑑識分析後須證明所擷取之數據來源始於該數位證據 (3). 務必於不異動數位證據內容之情況下進行鑑識分析作業。. 8.

(9) 第一項原則亦即數位鑑識人員取得數位證據過程中不能破壞其證據能力，否則會造成該證據無法被法院採信之情況，例如台灣高等法院台南分院刑事判決 100 年度上訴字第 228 號中指出，告訴人自行將數位證據儲存於光碟後，交予鑑識人員進行鑑識分析，但經查該數位證據之最後修改時間與實際紀錄時間不符，故不鑑定該數位證據之內容。第二項原則亦即數位證據之第二種特性：不易證實其來源及完整性，由於數位證據易於複製與修改，數位鑑識人員須於呈現鑑識分析成果之前，針對相關數位證據提出與原始證物相同之佐證。第三項原則常發生於不適用之數位鑑識工具或錯誤之數位鑑識作業程序，亦即本論文探討之重點之一。. 立. ‧. ‧ 國. 學. 2.2 數位鑑識. 政治大. er. io. sit. y. Nat. 傳統刑事案件所涉及之刑事鑑識學，涵蓋彈道學、血液學等，發展較早且已有相當 n. 多實際案例可供參考，而數位鑑識則為近代隨著資訊科技發達後，為取得及妥善保存由 al iv Ch. n engchi U. 資訊設備所產生之數位證據而衍生之專門領域。其定義為利用科學且嚴謹之方法及程序，對資訊科技設備進行數位證據蒐集、識別、記載後，於不可污染原始數位證據之前提下，進行解讀、分析、搜尋及還原等步驟，最後根據所得結果產出報告。國外學者 Kuchta[5]對數位鑑識之定義為「鑑識是有關電腦應用與法律的議題，使用電腦技術分析、擷取並解釋從電子媒體上所採集的數位證據，並且取得法律上的效力」，由此可知數位鑑識作業大多因案件本身需要進入司法訴訟程序，或數位鑑識作業之結果將用於釐清責任、究責等後續動作時，方為必要之需求。. 9.

(10) 國內學者林宜隆[6]定義數位鑑識為一門能夠幫忙解決資通安全事件或網路犯罪中數位證據難題的科學，並將數位鑑識種類大致上分為電腦鑑識（Computer Forensics）、資料鑑識（Data Forensics）、軟體鑑識（Software Forensics）、網路鑑識（Network Forensics）及行動裝置鑑識(Mobile Device Forensics)等，如圖 2.1 所示，故凡與數位資料有關之分析作業皆屬於數位鑑識之範疇。. 政治大. 立. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. 圖 2.1 國內學者林宜隆定義之數位鑑識種類. 2.3 數位證據鑑識標準作業程序當資安事件發生時，數位證據之取得流程亦需符合正當的法律程序。在證據的取得過程，我們必需依照電腦鑑識的標準作業程序，確保經由鑑識人員取得的資料能提供其證據力及證據能力。國內學者王旭正教授等人提出之電腦鑑識程序[7]歸納整理如下：. 10.

(11) 1. 保存證據：調查人員必須確保案件現場所有相關證據之原始性及完整性，不得使證據遭到竄改或任何異動，執行鑑識分析作業之人員應以原始硬碟所製作出之證據映像檔進行分析。 2. 檢驗證據：鑑識分析人員須利用國際普遍使用且通過檢測之數位鑑識工具進行鑑識分析作業，將遭到刪除或刻意隱藏之資料加以還原及檢視。 3. 分析證據：鑑識分析人員取得數位證據後，藉由檢驗分析取得數位證據擁有者及相關數位證據與該案件之關係並作為佐證。 4. 結果呈現：釐清相關疑點、還原案件原貌後，以鑑識分析結果推斷犯罪行為。. ‧. ‧ 國. 學. 另有國內學者黃嘉宏[8]等人提出電腦鑑識之基本程序包含現場保全評估、現場文政治大立件紀錄、證據蒐集、證據封存及數位證據檢驗，共五個步驟，如下圖所示：. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. 圖 2.2 電腦鑑識之基本程序電腦鑑識程序大多著重於證物鏈(Chain of Custody)完整性之確認，期間涵蓋案件現場之蒐證作業起始至鑑識分析報告產出為止。從相關表單填寫至數位證據封存方式、運送途徑及保護措施等，皆有相對應之處理程序，鑑識人員既須熟悉鑑識專業領域亦要了解電腦鑑識標準作業程序方能完成上述所有鑑識作業項目。國內學者林宜隆亦提出建構數位證據鑑識標準作業程序（Digital Evidence Forensic Standard. Operation Procedure，DEFSOP）與案例實證之研究[6]，摘錄其標準作業程序如下圖 11.

(12) 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. 圖 2.3 數位證據鑑識標準作業程序架構圖. 2.4 鑑識實驗室認證相關國際標準簡介 1. ISO/IEC 17025:2005 國際標準化組織(International Organization for Standardization ,ISO) 為一製作國際通用標準之國際組織，其成員為各國國家標準機構或主要公司之代表，與國際電氣技術委員會(International Electrotechnical Commission ,IEC)共同針對所有測試與校正實驗室能力之共同要求制定 ISO/IEC 17025:2005，這些要求適用於各種形式的校正與客觀試驗，以標準方 12.

(13) 法、非標準方法及實驗室自行開發方法所執行之結果進行測試與校正。ISO/IEC 17025:2005 用於提高實驗室品質、技術及一般行政作業之水準，並藉由方法確效、流程規定等方式確保實驗室所產出之報告符合國際規範，進而取信於客戶，將報告用於法律訴訟。以下為 ISO/IEC 17025:2005 中描述實驗室並與數位鑑識相關之名詞定義[9]： (1). 實驗室：當實驗室為公司組織之一部分時，該業務活動可能會超過測試與校正之作業範圍，但在 ISO/IEC 17025:2005 中之「實驗室」僅指測試與校正有關的部門而言。 (2). 測試：依據某一特定的程序，用以決定符合性評鑑目標物之一個或多個特性。. 立. 政治大. ‧ 國. 學 ‧. 財團法人全國認證基金會(Taiwan Accreditation Foundation ,TAF)其下 Nat. er. io. sit. y. 之中華民國實驗室認證體系(Chinese National Laboratory a. n. iv l C Accreditation ,CNLA)，主要致力於國內實驗室及檢驗機構進行各領域之國際 Un h. engchi. 認證，同時希冀建立相關品質與技術能力之評鑑標準。評鑑及認證之依據即為 ISO/IEC 17025 等相關國際標準，並輔以能力試驗及該領域專家，被認證單位將藉此提昇品質與國際上認同之技術能力。並 CNLA 提出實驗室認證共通規範有 [9]： (1). 組織：實驗室或其所屬組織，應是負法律責任之實體，且應遵守 CNLA 所訂之規範，並選任一人為負責人，以及數位鑑識報告簽署人。 (2). 品質系統：應建立、實施及維持一套適用其活動範圍之品質系統，並將政策、系統、方案、程序及工作說明予以文件化至需要的程度，並製訂相關品管手冊，以確保鑑識結果之正確性及品質。. 13.

(14) (3). 文件管制：需建立與維持各種程序，以管制構成品質系統之所有文件。例如工具操作手冊、鑑定程序方法、依循法規等，並能夠適時的調整以維持常新。此外，所有實驗室所產生的文件需要有唯一的識別編號，藉以清楚識別文件種類及版本等資訊。 (4). 鑑識工作外包：實驗室無論因任何非預期的原因(如需更進一步深入的專業技術)將工作外包時，此工作仍需交給有能力者(同樣經過認證之實驗室)。 (5). 保密條款：鑑識結果，不得洩漏予第三人。 (6). 鑑識程序修正措施：實驗室應建立矯正措施之政策與相關程序，當品質政治大立系統或鑑識程序出現偏差時，應能及時修正。同時，實驗室要有隨時監. ‧ 國. 學 ‧. 控鑑定結果的機制，以確保所採取程序之有效性。 sit. y. Nat. al. er. io. (7). 紀錄管制：實驗室應建立程序，以鑑別、蒐集、索引、取閱、建檔、儲 n. iv Un i e h n c g 存、維護及銷毀品質與技術紀錄。這些紀錄至少須保存三年。. Ch. (8). 實驗室稽核：實驗室應定期地對所有程序進行稽核，以查證作業程序是否持續符合品質系統之要求。稽核項目至少應涵蓋 ISO 17025 要求之項目，且要定期(至少一年一次)對實驗室的品質系統與鑑識程序進行審查，以確保其持續地合適性與有效性。. 2. ILAC-G19 規範國際實驗室認證大會(International Laboratory Accreditation Conference ,ILAC)，為一個非官方且區域性之實驗室或認證機構所組成。其宗旨為協助與促成各會員間的國際化，並讓各實驗室之檢測結果得以被相互認證 14.

(15) 與接受，同時擴大交流實驗室認證技術及經驗。ILAC 針對「鑑識科學實驗室」此一認證項目，修訂 ILAC-G19(鑑識科學實驗室認證指引)，內容以鑑識科學作業流程為主，包括現場勘查、實驗室、實驗室報告及案件最後報告與解釋。. 3. ASCLD/LAB 認證 ASCLD/LAB(American Society of Crime Laboratory Directors / Laboratory Accreditation Board，美國犯罪實驗室主管認證計畫)為美國地區鑑識實驗室多數採用之認證計畫，除為其國內新設置實驗室做認證服務外，同時也接受其他國家認證申請。ASCLD/LAB 認證目的與 ISO/IEC17025 精神並無違政治大立背，國外學者 Schmitknecht[10]提出該認證計畫有多項優點，歸納整理如下：. ‧ 國. 學 ‧. (1). 提供司法系統更高服務品質之鑑識實驗室。 er. io. sit. y. Nat. n. al (2). 可利用鑑識實驗室開發和維護的標準評估其性能和水準，以加強其運 iv Ch. 作。. n engchi U. (3). 提供一個獨立、公正、客觀的作業評核系統，一方面可使顧客信任實驗室所產出之結果，實驗室亦可因接受作業評核而檢驗自我是否已符合標準。 (4). 著重於數位證據之處理流程及方法，確保實驗室執行鑑識分析作業時不會破壞數位證據。. 15.

(16) 4. ACPO 四項數位證據處理指導原則英國警察協會((Association of Chief Police Officer，ACPO)亦參考國際電腦證據組織(International Organization of Computer Evidence)之數位證據蒐集原則，在 1999 年提出「The Good Practices Guide for Computer Based Evidence」四項數位證據處理指導原則[11]，數位證據須依循此四項原則才具備法院或訴訟中所認可之證據能力，此四項原則簡述如下： (1). 所有數位鑑識的動作（包含蒐證、扣押、儲存、復原、分析、鑑定等），都不得對電腦設備或儲存媒體中的數位資料造成任何改變。非法採證調查或任何不符合標準鑑識流程的動作都會影響這些數位資料在法庭上的證據能力。. 立. 政治大. ‧ 國. 學 ‧. (2). 數位鑑識以檢驗處理軌跡(Trail)或備份檔案(backup copy)為原則。若 Nat. er. io. sit. y. 有必要直接檢視原始數位證物，必須確保檢驗人員具備一定的專業能 a. n. iv l C 力，且對於他所採取的每一個動作都必須要能夠解釋其相當的動機、目 Un h. engchi. 的與關聯性。 (3). 鑑識調查過程中對於數位證據所採取的所有動作都必須留下詳盡的稽核軌跡或證物監管鏈(Chain of Custody)，供檢核與稽查。若將同樣的數位證據交由任一獨立第三方進行檢驗，必須能夠得到相同的結果。 (4). 確保調查過程中的所有動作都嚴守調查原則，避免數位證據持有人或相關人員擔任鑑識分析人員或案件承辦人員，且所有案件相關人員存取或使用數位證據時，需確保符合法律規範及上述處理原則。. 16.

(17) 2.5 國內數位鑑識實驗室建構規範及研究本研究亦參酌王旭正教授主持之鑑識實驗室 ICCL 之相關組織、環境等相關規劃 [12][13]，節錄 FROG 架構圖如下圖 2.4：. 立. 政治大. ‧. ‧ 國. 學 sit. y. Nat. n. al. er. io. 圖 2.4 ICCL 鑑識實驗室 FROG 架構圖 Ch. n engchi U. iv. 於該架構中共分為學術研究組、電腦鑑識組與技術研發組，各分組獨力負責鑑識實驗室部份作業，且可互相交流並增加數位鑑識分析作業之執行效率，簡述各分組作業內容如下： (1). 學術研究組：藉由探討文獻、研究國際學術期刊以及各國數位鑑識發展現況等學術研究活動，訂定標準鑑識程序及作業內容。 (2). 電腦鑑識組：分為現場鑑識與實驗室鑑識。現場鑑識應包括行動前規劃、取得搜索合法授權、評估現場環境、辨別搜索目標以及進行蒐證作業等活動。而實驗室鑑識部份則負責進一步盡是分析，如密碼破解、回復被刪除資料、備份硬碟及實體與邏輯數位證據擷取等作業，亦包括後續進行鑑識分析及產出數位鑑識報告等流程。 17.

(18) (3). 技術研發組：針對實驗室內所擁有之鑑識設備，撰寫操作手冊，確保鑑識人員以標準操作程序處理數位證據，並培訓實驗室新進人員或針對新採購之鑑識設備進行工具檢測及辦理相關教育訓練。. 國內學者余山亮、楊中皇教授[14]亦提出完整之鑑識實驗室應具備之軟硬體規劃、人員資格及教育訓練等建議，並歸納出實驗室關鍵成功因素如下圖。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. 圖 2.5 國內學者余山亮、楊中皇等提出之實驗室關鍵成功因素針對文中各因素簡述如下：. 18.

(19) (1). 鑑識實驗室型態規劃：鑑識實驗室概分為政府及民間，其共通組織人員包括實驗室主管(即鑑識報告簽署人)、副主管(代理人)、技術主管、品質主管。若依任務區分可分為網路鑑識組、電腦鑑識組以及手機鑑識組，若非任務相關，則有技術研發小組、內部稽核組及其他行政等小組。 (2). 目的及功能：數位鑑識實驗室在建立前應先確認任務，應先釐清鑑識的範圍及內容。 (3). 文件管理：數位鑑識報告為實驗室之最終產出，需避免遭竄改並做好檔案管理。 (4). 整理環境規劃：包含軟硬體設備空間配置、人員作業空間等，且重點為政治大立必須提供包含人員、設備及數位證據之安全管理。. ‧ 國. 學 ‧. (5). 人員資格及教育訓練：實驗室主管除熟悉電腦及鑑識科學外，還須具備 sit. y. Nat. al. er. io. 法律相關專業及經驗；鑑識分析人員必須對數位鑑識程序或流程非常熟 n. iv Un i e h n c g 悉，並完成特定鑑識課程訓練或軟體廠商之工具使用認證資格。. Ch. (6). 軟體與硬體：應有合適之軟硬體設備，並針對讀取與處理速度、精確度、可靠度、可重複性等要素評估性能與效能 (7). 實驗室認證：認證之目的為提供指導和方向，執行教育訓練和認證計劃，以確定最低資格、標準做法、能力和背景的要求 (8). 支援協助：需成立技術研究中心及鑑識知識庫，定期舉辦研習並積極參與國內數位鑑識相關計畫，以增進實驗室鑑識能力。. 19.

(20) 第三章研究方法 3.1 研究方法本文之研究方法主要採用文獻分析研究法及比較研究法，並以鑑識實務經驗為基礎，針對鑑識流程和實驗室建構予以分析討論，結合跨領域的研究和實務上的處理經驗，提出可以為鑑識人員當作參考依據的鑑識環境和流程。因國內外鑑識環境、發展有所不同，文獻來源多以國內知名學者、檢調機關所提出的文件為主，輔以探討國際標準之文獻，達到鑑識實驗室之完整性及適法性。除探討鑑政治大識實驗室之國內外文獻及標準外，本研究亦參考多處國內鑑識實驗室之環境及相關流立. ‧ 國. 學. 程，並輔以一般實驗室之環境需求，提出符合標準及實務需求之鑑識實驗室環境及組織. n. sit. er. io. al. y. ‧. 研究動機. Nat. 結構建議。. Ch. n engchi U. iv. 研究目的文獻探討. 國內鑑識實驗室實務經驗. 國內外學者鑑識相關文獻研究限制. 歸納與彙整本研究建議之鑑識實驗室架構及分析作業流程圖 3.1 研究架構. 20.

(21) 第四章數位鑑識實驗室建構芻議數位鑑識實驗室為執行數位鑑識分析作業最主要場所，主要構成如下 [12][15][19] 1. 軟硬體設備：包含所有實驗室內之軟硬體含網路等設備。 2. 實驗室認證及規範：規範鑑識實驗室之設備使用、人員進出、保固維護等相關文件，可從中了解該實驗室除數位鑑識作業之外之管理制度。 3. 組織架構與職掌：記錄實驗室成員及職掌，並規定每個角色應具備之技術能力政治大與固定應接受之教育訓練。立. ‧ 國. 學 ‧. 4. 標準作業流程：根據該實驗室主要鑑定項目所制定之標準作業流程，亦包含各 y. Nat. sit. n. al. er. io. 項軟硬體設備之標準操作手冊。 Ch. n engchi U. iv. 5. 環境規劃：除區分特定區域供鑑識分析人員便於操作工具外，亦可針對特定區域，如證物保管區，設定特殊存取權限，確保實驗室各項安全性需求合於規範。. 21.

(22) 圖 4.1 鑑識實驗室構成要素其中軟硬體設備及實驗室認證部份因各鑑識實驗室環境、人員及外在因素(預算、承接案件種類)不同而有所差異，故不在本研究中探討。以下將針對鑑識實驗室組織架構與職掌及鑑識實驗室環境規劃與標準作業流程兩個部份進行討論及建議。. 4.1 鑑識實驗室人員架構及職掌. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. 圖 4.2 鑑識實驗室人員架構及職掌建議. 1. 鑑識實驗室負責人：確認案件鑑識方向及各項資源調度事宜，並於案件偵結時，簽署鑑識報告並召開結案會議。 2. 現場鑑識組 (1). 現場鑑識主管： A. 負責召開勤前會議及負責管理現場鑑識組，以確保現場數位證據蒐集、封存及運送作業程序符合要求。 22.

(23) B. 須瞭解案件相關資訊，適時協調現場鑑識作業。 (2). 現場鑑識人員： A. 負責數位證據蒐集及封存作業，以符合作業程序之要求。 B. 現場鑑識人員須熟悉相關現場鑑識工具及相關作業程序之要求。 (3). 攝影記錄人員： A. 應管制事件現場，針對涉及資安事件系統設備週遭附近的人員進行現場疏導作業，另應確保現場除了現場鑑識人員之外沒有其他未經授權人員進出現場。 B. 將現場所有狀態透過錄影、拍照或紙本載明等方式予以記錄，包含現場中相關標的設備與其它數位證據之所在位置，及電腦設備、週邊設備、可攜式儲存媒體及網路等之連接方式。 C. 應記載任何進出管制現場之授權人員並確認其進出理由。政治大立 D. 攝影紀錄人員須於現場鑑識人員完成數位證據封存作業後，負責. ‧ 國. 學. 證據運送作業。. ‧. n. al. er. io. sit. y. Nat. 3. 鑑識分析組. (1). 案件管理主管：. Ch. n engchi U. iv. 召開專案會議追蹤專案進度，瞭解專案是否需要額外資源或待解決之問題。並於專案進行過程中及結束時，確保產出之報告及相關文件符合規範及實驗室要求之水準。 (2). 鑑識分析人員： A. 負責執行鑑識分析作業 B. 負責製作鑑識分析報告並於專案會議上報告專案進度以及相關問題 (3). 案件管理人員： A. 保管數位證據，以確保數位證據收件管制、入庫保存、調閱歸還及出庫流程皆有詳細且正確之紀錄。 B. 專案進度管制：進行專案進度之管考作業，並於專案會議報告專案進度。 23.

(24) 4. 技術研發組 (1). 技術研發主管：發布鑑識作業相關各文件或標準流程之版本更新，瞭解組內各項資源運作及分配狀態以妥善調配資源，並且針對鑑識實驗室之需求或國際趨勢規劃研究方向。 (2). 工具開發人員： A. 撰寫或更新數位鑑識工具操作手冊。 B. 須依照數位鑑識前置準備標準作業程序之鑑識分析作業前置檢查事項，檢測數位鑑識工具。 C. 負責辦理教育訓練，講解鑑識工具之功能及操作方式，使現場鑑識人員及鑑識分析人員能熟練並運用於鑑識作業之中政治大 D. 研究鑑識新技術及趨勢，並於教育訓練時機分享給實驗室組員立. ‧ 國. 學. (3). 文件及版本管理員：. ‧. sit. y. Nat. A. 撰寫數位鑑識標準作業程序，使所有數位鑑識作業流程符合於相 n. er. io. 關標準程序要求。 a. ni. l C. v. hengchi U B. 管理數位鑑識作業所需之文件及表單，包括現場鑑識組使用的各. 種檢查表件等，若需修改文件或表單內容，亦由版本管理員統一更新並交付技術研發主管發布。 C. 於專案結束後將鑑識報告歸檔並保妥善保存. 4.2 人員資格與內部教育訓練目前國內並未有相關法令規範鑑識實驗室之成員應具備何種資格或須預先通過何種教育訓練，以下將以實務經驗建議部份實驗室人員應具備之資格及所需之內部教育訓練。 1. 人員資格. 24.

(25) (1). 鑑識實驗室負責人：須資訊相關科系碩士以上且具備五年以上之實務經驗。另須取得國際資訊安全管理類及技術類證照各兩張以上。 (2). 現場鑑識主管：須資訊相關科系碩士以上，且具備兩年以上之實務經驗。針對案件現場所需使用之鑑識工具亦須取得相關之外部單位教育訓練結業證明。 (3). 現場鑑識人員：須資訊相關科系學士以上，且具備一年以上之實務經驗。另須完成相關鑑識工具之教育訓練，確保操作方式符合鑑識工具使用流程。 (4). 案件管理主管：須資訊相關科系碩士以上，且具備兩年以上之實務經政治大立驗。另須取得國際資訊安全管理類證照兩張。. ‧ 國. 學 ‧. (5). 鑑識分析人員：須資訊相關科系碩士以上，且具備一年以上之實務經 sit. y. Nat. n. al. er. io. 驗。另須取得鑑識實驗室內所使用之工具相關證照或外部單位教育訓練結業證明。. Ch. n engchi U. iv. (6). 技術研發主管：須資訊相關科系碩士以上，且具備兩年以上之實務經驗。另須取得國際資訊安全技術類證照兩張。 2. 內部教育訓練實驗室內部之教育訓練以現場鑑識組、鑑識分析組以及技術研發組交互訓練為主，分別為下列三種類別： (1). 鑑識工具教育訓練：技術研發組主辦，旨在培養鑑識分析人員或現場鑑識人員之工具操作能力。當鑑識工具產品更新或鑑識新產品有助於鑑識分析作業時，技術研發組亦須不定期舉辦教育訓練。. 25.

(26) (2). 鑑識分析實務經驗分享：由鑑識分析組舉辦，分享實際案例鑑識分析過程及成果；技術研發組可從實際案例遭遇之困難尋找或開發新工具；現場鑑識組可瞭解後端鑑識分析作業，藉以改善現場蒐證時之項目或方法。 (3). 現場蒐證標準流程教育訓練：由現場鑑識組舉辦，目的為訓練新人熟悉現場蒐證流程，或於標準流程異動後使其他兩組瞭解蒐證標的或流程變動內容，並於困難處提供工具支援需求給予技術研發組。. 4.3 鑑識實驗室環境需求政治大立當實驗室取得數位證物之後，鑑識分析人員須按照實驗室規範製作數位證物複本，. ‧ 國. 學 ‧. 以供後續鑑識分析使用。基於數位證物易於被破壞之特性以及相關實務經驗，本研究建 y. Nat. er. io. sit. 議鑑識分析人員將來源數位證物(Source)以複製硬碟最小單位(Sector)之方式，藉由數 a. n. v. i l C 位鑑識專用之硬碟複製機(接來源數位證物之端口為防寫)複製至經完全抹除(Wipe)之 hen hi Un. gc. 另一顆硬碟中，待複製完成並確認複製工具無錯誤訊息後，將來源數位證據妥善封存至證物儲存區之中。接下來將複製完成之複本證物(Clone)再製作出證據映像檔(Image)，完成後亦將複本證物妥善存放於證物儲存區。簡而言之，每個來源數位證物(Source)都將製作出一個複本證物(Clone)以及一份證據映像檔(Image)。因證據映像檔(Image)通常皆有雜湊值及循環冗餘校驗(Cyclic redundancy check ,CRC)，可確保後續之鑑識分析作業不會影響到數位證物本身資料，故鑑識分析人員須以證據映像檔(Image)為主要分析對象。下圖為鑑識實驗室各區域作業內容及說明[12][15][19]：. 26.

(27) 圖 4.3 鑑識實驗室各區域作業內容 1. 攝影紀錄區以腳架和攝影機為主，數位相機及訪談紀錄為輔，充分紀錄證物狀態，並針對後續拆卸或操作過程予以記錄。本區同時負責對照現場蒐集的證物狀態和實際狀況，鑑識分析人員須在現場鑑識組將數位證物送抵實驗室時，當面確認數位證物封存狀況，若封口或包裝有破損或破壞痕跡，應立即記錄並與現場鑑識組確認該情況是否異常，嚴重時須考慮退回該數位證物。 2. 硬碟複製區. 立. 政治大. ‧ 國. 學. 透過防寫設備或快速複製設備製作映像檔或複製證物，製作完成後比對雜湊值. ‧. 是否相同及是否有錯誤訊息，並記錄於表單之中，若現場鑑識人員已於蒐證現 y. Nat. sit. al. n. 值，確保其一致性. er. io. 場完成複本或證據映像檔之製作，則鑑識分析人員須於本區進行重複核對雜湊 Ch. n engchi U. iv. 3. 證物封存區完成證物複製或映像檔後，須進行專案文件建檔及封存原始物證，封存步驟簡述如下： (1). 將原始證物放入防靜電氣泡袋中，列印證物封條黏貼於防靜電氣泡袋之封口處。 (2). 執行封存作業人員須於證物封條上簽名並註明日期及時間，書寫時須使筆跡突出證物封條至防靜電氣泡袋上，以達到等同騎縫章之效果，以利往後容易察覺破壞封口之動作。 (3). 將封存完成之防靜電氣泡袋連同專案文件放入易破碎之紙袋中，封口處之處理可參考上述防靜電氣泡袋之作法。另須列印證物說明標籤，張貼 27.

(28) 於公文袋之表面，以供鑑識分析人員或案件管理人員辨別該數位證物屬於哪個專案。 (4). 封存過程須以攝影機或既有監視器做紀錄。 4. 證物儲存區本區應與上述各區有管制之實體區隔，並分為兩個區域： (1). 原始證物儲存區：專門存放原始數位證物，應為該鑑識實驗室之最高權限方可存取，具備可上鎖或相關出入管控機制，避免不當存取。 (2). 複本證物儲存區：將完全複製於原始硬碟之證據複本或證據映像檔存放. ‧. ‧ 國. 學. 於本區，供鑑識分析人員取用以進行鑑識分析作業。政治大立 5. 鑑識分析區. sit. y. Nat. 應有專門用於鑑識分析之電腦主機，並安裝通過國際檢測機構之鑑識分析 er. io. 工具，鑑識主機應限制只有鑑識分析人員擁有帳號可進行操作並僅能分析 a. n. iv. l C 證據映像檔，最後由鑑識分析人員於本區產出鑑識報告。本區亦須使用獨立內 hengchi Un. 部網路隔絕連結外部網路，或停用網路，避免安全性問題產生。 6. 耗材及其他工具區存放拆卸、媒體介面轉接等相關工具，並應具備兩具以上之有效消防器材。. 下表為整理鑑識實驗室主要區域建議應有之軟硬體設備表 4.1 各主要區域建議設備區域名稱. 1. 攝影紀錄區. 軟硬體設備 . 攝影機(含記憶卡)或監視攝影機. . 腳架 28.

(29) al. n. 鑑識分析區. . 數位鑑識專用硬碟複製機. . 防寫器. . 防靜電桌墊. . 防靜電手套. . 空白(經抹除)硬碟. . 相關表單. . 防靜電氣泡袋. . 證物封條. . 證物說明標籤 sit. y. ‧. io. 5. 證物儲存區. 相關表單.  治防靜電桌墊政大立  防靜電手套. Nat. 4. . er. 證物封存區. 數位相機(含記憶卡). 學. 3. 硬碟複製區. ‧ 國. 2. . v ni C h 易碎紙袋 engchi U. . 防潮保險櫃(原始證物儲存區). . 防潮櫃(複本證物儲存區). . 鑑識分析主機. . 鑑識分析軟體. . 防寫器. 29.

(30) 第五章數位鑑識作業處理建議流程數位鑑識處理作業粗略可以分為蒐證現場建議作業流程和鑑識分析建議流程。現場鑑識人員執行蒐證現場建議作業流程時，應著重於證物鏈管理和證物封存流程，並藉此保存數位證物之證據能力。現場鑑識人員若於蒐證現場遭遇無法處理或非本建議流程中之情況時，應詢問現場鑑識主管因應策略，避免毀損數位證物。現場蒐證行為是數位鑑識中的基礎，直接影響到後續的鑑識結果，故現場鑑識人員必須在平時即反覆演練整個封存過程，以求熟悉所有相關步驟，倘若組織欲招募新進人員成為現場鑑識人員，亦須透過定期及反覆測驗現場蒐證相關動作，降低證據能力於案件現場即遭到破壞。政治大立鑑識分析建議流程涵蓋大多數案件中普遍需要的鑑識分析方法，鑑識分析人員可依. ‧ 國. 學 ‧. 此流程減少遺漏及程序上的時間損耗。但因各種鑑識分析專案情況不同，並無法以此建 y. Nat. er. io. sit. 議流程完成所有數位鑑識專案之鑑識分析作業，鑑識分析人員須以實際需求參考本建議 al. n. iv. n Ch 流程，選取適於進行之部份，藉以加快或完善鑑識分析作業。 engchi U. 以下將針對蒐證現場建議作業流程和鑑識分析建議流程分別詳述，惟前往現場進行蒐證作業之前，尚須檢查相關設備、表單等案件現場所需之項目，一般鑑識實驗室未能明確定義檢查項目及負責人員，導致到達現場時部份項目有缺漏或無法執行作業之疑慮，故本研究將一併整理現場蒐證作業前置準備階段人員作業內容建議，提供現場鑑識人員參考。. 30.

(31) 5.1 現場蒐證作業前置準備階段作業內容及職掌建議當鑑識實驗室接獲資安事件通報，應隨即召開勤前會議，說明案件相關資訊、確定案件管理人等職務，並請現場鑑識組檢查所有相關設備及表單，本研究建議之任務分派及檢查內容如下圖 5.1 所示[6]：. 資安事件通報. 召開勤前會議. 治政現場鑑識組大立任務分派 ‧. ‧ 國. 學 sit er. io. al 檢查現場鑑識工具 C n. 前置準備階段. 攝影記錄人員. y. Nat. 現場鑑識人員 hengchi Un. i v 檢查攝影器材. 抹除複製證據用硬碟. 聯絡並瞭解現場情況. 檢查封存耗材數量. 檢查表單數量. 前往案件地點. 蒐證現場建議作業流程. 完成現場蒐證. 圖 5.1 現場蒐證作業前置準備階段任務內容 31.

(32) 1. 現場鑑識人員： (1). 檢查現場鑑識工具：依照該工具已預先制定之操作手冊，重新操作與現場蒐證作業相關之功能，並將操作項目及結果記錄於實驗室表單中，隨後請現場鑑識主管簽核，作為日後若有此部份爭議時追查之用。 (2). 抹除複製證據用硬碟：現場鑑識人員須於前往案件現場前確認目標主機硬碟容量，以便準備適合容量之硬碟，並於確定欲攜出之硬碟後進行完整抹除作業，確保無任何資料存於其中，抹除硬碟資料之方式可選擇軟體或硬體式，以鑑識實驗室易於取得且較快速之工具為主要考量。 (3). 檢查封存耗材數量：執行數位證據封存作業時所需之耗材項目可參考前政治大立章節表 4.1「各主要區域建議設備」中之「證物封存區」項目，現場鑑. ‧ 國. 學 ‧. 識人員須依照勤前會議所取得之案件現場資訊，領取足夠數量之耗材， Nat. n. al. er. io. sit. y. 確保後續現場蒐證作業得以完成。 Ch. n engchi U. iv. 2. 攝影記錄人員： (1). 檢查攝影器材：此部份檢查重點為攝影器材電池電力及儲存空間是否足以使用於整個現場蒐證作業階段，若經評估或有不足之疑慮，應另行準備電源線及備用記憶卡等設備。 (2). 聯絡並瞭解現場情況：攝影記錄人員與現場鑑識主管溝通後，聯絡案件現場聯絡窗口，盡量了解現場情況並將該訪談資訊記錄於表單中，供現場鑑識人員參考是否需額外準備工具或耗材。 (3). 檢查表單數量：若於案件現場執行作業時遭遇所攜帶表單不足之情況將會造成作業時間拖沓甚至使客戶對鑑識實驗室觀感不佳，故於前往案件 32.

(33) 現場前，攝影記錄人員應確實清點所攜帶表單數量，倘遇案件現場實際情況與勤前會議或訪談內容不符時，應向客戶反應後，現場以表單電子檔加印，方可減低對該案件之負面影響。表 5.1 現場鑑識人員檢查表項次. 檢查項目. 現場鑑識人員應確認項目 □是否可正常開啟 □版本是否相符 □是否可執行蒐證作業. 2. 證據儲存用硬碟. □可讓作業系統正常辨識 □確認證據內容正確 □確認數量足夠. 3. 防靜電氣泡袋. 4. 防靜電桌墊. 5. 防靜電手套. 6. 證物封條及證物說明 □確認數量足夠 al iv 標籤 C Un. y. sit. n. er. io. 易碎紙袋. ‧. □確認數量足夠. Nat. 7. □確認數量足夠政治大立 □確認數量足夠. ‧ 國. 1. 學. 現場鑑識工具. 異常處理. hengchi. □確認數量足夠. 現場鑑識人員簽名 (日期時間). 現場鑑識主管簽名 (日期時間). 33.

(34) 5.2 蒐證現場建議作業流程及說明完整之蒐證現場建議作業流程如下圖所示，現場鑑識人員可考量現場環境及所擁有之鑑識設備，採取本研究所建議之適當方法完成蒐證作業，以下將針對作業流程各個項目進行說明[6][16][17][20]。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. iv. 圖 5.2 蒐證現場建議作業流程 34.

(35) 1. 記錄現場現況攝影記錄人員應以錄影或拍照方式記錄現場，建議記錄連續動作時時可考量運用動態之影像，藉此說明動作前後關係；記錄設備序號或外觀等靜態畫面則建議使用拍照方式，以下為記錄現場現況時應注意之要點： (1). 於拍攝記錄前勿觸碰或移動現場相關數位證據。 (2). 應記錄標的設備與其它數位證據之所在位置及設備資訊彼此遠近或是否接入主機等關聯，如電腦設備及週邊設備、筆記型電腦、可攜式儲存媒體、光碟片、隨身碟及記憶卡。 2. 維護現場完整. 政治大 (1). 攝影記錄人員應要求案件現場相關人員停止操作作業，如該數位證物處立. ‧ 國. 學. 於開機情況下，請勿關機，反之亦然，以避免異動數位證物原始狀態。. ‧ er. io. sit. y. Nat. (2). 數位證物是否為開機狀態之判斷應以不改變其狀態為優先考量，例如 a. n. iv l C 部份筆記型電腦蓋上螢幕即進入休眠模式，打開則回復運作，故此例中 Un h. engchi. 現場蒐證人員應先詳實記錄是否為休眠狀態後，再與現場鑑識人員評估蒐證進行方式。 (3). 攝影記錄人員應協助管制事件現場，針對涉及資安事件之數位證物週遭人員進行疏導作業，並填寫進出管制表，描述管制現場人員進出之緣由。另應確保非業務承辦人員或未取得部門權責主管授權之人員不得進出管制現場。 3. 揮發性資料蒐集. 35.

(36) (1). 如數位證物處於開機狀態下，現場鑑識人員應使用現場數位證據蒐集工具取得揮發性資料，以避免部份儲存於記憶體中之重要資料因斷電而消逝不見，蒐集項目如下[18]: A. 目前登入至系統之使用者資訊。 B. 目前所開啟網路連線埠資訊。 C. 目前執行之系統程式資訊。 D. 目前系統程式所建立網路連線資訊。 E. 記憶體資訊。 F. 系統效能資訊 G. 已啟動之服務 H. 已開啟之檔案 InPrivate 瀏覽(或無痕視窗) 政治大立. 學 ‧. ‧ 國 io. sit. y. Nat. n. al. er. I.. Ch. n engchi U. iv. 圖 5.3 非揮發性及揮發性資料整理. 36.

(37) (2). 進行揮發性資料蒐集時，現場鑑識人員應透過現場數位證據蒐集工具方式自動執行蒐證作業，避免人為操作錯誤導致證據能力遭到質疑。 (3). 揮發性資料蒐集完畢後，現場鑑識人員應透過現場數位證據蒐集工具自動產生其對應之雜湊運算值，作為後續比對檔案完整性之依據。 (4). 進行揮發性資料蒐集作業時，應確保現場鑑識人員具備一定專業能力，且對於所採取的每一個動作都必須能解釋其動機、目的與關聯性並紀錄所有操作步驟。 (5). 攝影記錄人員應以錄影方式記錄揮發性資料蒐集之步驟，拍攝蒐證方法及步驟. 立. ‧. ‧ 國. 學. 4. 非揮發性資料蒐集. 政治大. er. io. sit. y. Nat. (1). 現場鑑識人員除執行「揮發性資料蒐集」外，並應取得數位證物之相關 n. al 非揮發性資料，惟本步驟亦可經由複製媒體方式完整取得所有資訊，故 iv Ch. n engchi U. 現場鑑識人員並非需要蒐集所有非揮發性資料，若現場僅可執行蒐集部份邏輯檔案，建議蒐集作業至少應包含下列項目: A. 系統日期與時間。 B. 系統登入帳號紀錄。 C. 郵件個人資料夾檔案紀錄。 D. 上網行為紀錄(包含瀏覽紀錄、Cache 檔案及 Cookie 檔案)。 E. 系統日誌。 F. 裝置資訊及使用紀錄。 G. 系統所安裝軟體紀錄。 H. 系統開機自動執行程式列表紀錄。 I.. 系統排程工作紀錄。. J.. 系統捷徑檔案紀錄。. K. 資源回收筒紀錄。 37.

(38) L. 所設定關鍵字搜尋之相關檔案紀錄。 (2). 除了上述所提及之數位證物相關非揮發性資料外，針對該數位證物所關聯之防火牆設備、入侵偵測或防禦設備、紀錄保存及事件分析設備、防毒設備、流量控管或線路監控設備、應用系統及資料庫等設備，其稽核日誌檔案也需要匯出成檔案格式後進行證物封存。 (3). 進行非揮發性資料蒐集時，現場鑑識人員應透過現場數位證據蒐集工具方式自動執行蒐證作業，避免人為操作錯誤導致證據能力遭到質疑。 (4). 非揮發性資料蒐集完畢後，現場鑑識人員應透過現場數位證據蒐集工具自動產生其對應之雜湊運算值，作為後續比對檔案完整性之依據。. 政治大立 (5). 進行非揮發性資料蒐集作業時，應確保現場鑑識人員具備一定專業能. ‧ 國. 學. 力，且對於所採取的每一個動作都必須能解釋其動機、目的與關聯性並. ‧ sit. n. er. io. al. y. Nat. 紀錄所有操作步驟。 ni. C. v. hengchi U 5. 若該數位證物處於開機狀態，現場鑑識人員須詢問及判斷是否可以關閉電源並. 攜回。作業系統之正常關機程序會導致部份證據被竄改之可能，故經評估後可以關機時，現場鑑識人員應直接拔除電源。 6. 是否可執行封包側錄：若資安事件所涉及之數位證物異常現象持續發生且無法關機及攜回時，現場鑑識人員應先徵詢相關單位同意後，進行網路封包或其他相關資訊側錄以留下更多資訊。 7. 管制相關人員接觸或使用主機：待相關蒐證處理程序完成後，應避免任何未經授權人員再操作或使用該主機。 8. 數位證據是否可攜回. 38.

(39) (1). 如該數位證物於可關機情況下，並可取出其儲存媒體或有其他外接式儲存媒體存在時，現場鑑識人員應詢問相關人員及判斷是否可取出儲存媒體並攜回。 (2). 如數位證物於可關機情況下，但無法取出其儲存媒體時，現場鑑識人員應詢問相關人員及判斷是否可攜回完整電腦設備。 (3). 攝影記錄人員應以錄影方式記錄儲存媒體取出之步驟，並以拍照方式記錄該儲存媒體之型號序號等資訊。 9. 現場製作儲存媒體複本. ‧ 國. 學. (1). 如數位證物於可關機情況下並可取出其儲存媒體，但不能將其儲存媒體政治大立攜出時，現場鑑識人員除執行「揮發性資料蒐集」及「非揮發性資料蒐. n. al. er. io. sit. y. Nat. 業。. ‧. 集」外，應直接於現場透過儲存媒體複製設備進行儲存媒體複本製作作. Ch. n engchi U. iv. (2). 因證據映像檔製作較複本製作稍久，唯恐現場蒐證時間不足，故建議現場以製作儲存媒體複本為優先完成項目，待攜回儲存媒體複本後再於鑑識分析環境內進行證據映像檔製作。 (3). 攝影記錄人員應以錄影方式記錄儲存媒體複本製作之步驟 (4). 儲存媒體複本製作完畢後，現場鑑識人員應產生其對應之雜湊運算值，作為後續比對檔案完整性之依據。 10. 證據封存 (1). 現場鑑識人員應確實清點攜回之數位證據項目及數量，並針對每一項數位證據分別紀錄，完成後請現場相關單位代表簽名。 39.

(40) (2). 攝影記錄人員應將要封存之數位證據及封存步驟進行錄影拍攝作業。 11. 證據運送：攝影記錄人員如要進行數位證據運送作業時，應確保運送過程中，不會對數位證據造成損害，另應注意證據監管鏈之完整性。. 5.2 鑑識分析作業建議流程及說明鑑識分析作業因各專案不同，無法定義完整之標準作業流程，本研究將以實務經驗輔以鑑識功能特性，提出建議之鑑識分析流程供鑑識分析人員參考，如下圖[20]：. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. 40. iv.

(41) 鑑識分析開始新增專案並加入映像檔執行資料夾復原. 是. 有無隱藏或被刪除之磁區檢查. 硬碟磁區回復. 否. 執行資料夾復原. 將揮發性資料加入專案將邏輯性資料加入專案. 雜湊值比對. 立. 復原日誌檔案. 是. 確認特定時間區間確認時間區間內變動檔案 iv. n. al. er. sit. y. Nat. 檢閱日誌檔案. io. ‧. ‧ 國. 學. 復原檢查系統帳號電子郵件. 檔案特徵值分析執行. 政治找到異常或大相關檔案. 否. 在未分配區域搜尋檔案. 關鍵字搜尋. Ch. n engchi U. 確認時間順序符合案情. 是. 是否足以為證據否. 證據檔案儲存. 使用其他方式尋找證據. 產出鑑識報告. 圖:5-2 鑑識分析建議流程（一）新增專案並加入映像檔鑑識分析人員應根據專案不同建立新專案，專案名稱建議須與案件相關連並加註日期及證據編號，避免使用流水號或無意義之專案名稱。（二）執行資料夾復原為防止資料夾於鑑識分析軟體預覽模式下被隱藏或被覆蓋，鑑識分析人員 41.

(42) 應於加入證據檔後首先執行此作業，以利後續搜尋及比對分析作業進行。（三）有無被隱藏或被刪除磁區之檢查鑑識分析人員應透過鑑識分析軟體還原任何被隱藏或被刪除之邏輯硬碟磁區，如發現有大量空間未被分配，可確認是否有一個以上的邏輯硬碟磁區被隱藏或被刪除。（四）硬碟磁區回復鑑識分析人員如發現有被隱藏或被刪除之磁區，則可進行硬碟磁區回復作業，並且在回復磁區完成後再次針對該復原磁區執行資料夾復原，以避免遺漏任何相關資料。（五）將揮發性資料加入本案鑑識分析人員將現場鑑識人員取得之揮發性資料加入本案之中，透過復原現場數位證物之狀態可以讓鑑識分析人員有更多證據判斷資料外洩之來源或去向。. 原. ‧. ‧ 國. 學. （六）將非揮發性資料加入本案政治大立鑑識分析人員將現場鑑識人員取得之非揮發性資料加入本案之中，透過復. y. sit. n. al. er. io. 道。. Nat. 現場數位證物之狀態可以讓鑑識分析人員有更多證據判斷外洩資料之管（七）檔案特徵值分析執行. Ch. n engchi U. iv. 鑑識分析人員應初步判斷該主機是否有任何意圖隱藏而變更副檔名之檔案。（八）關鍵字搜尋尚未確定關鍵字前，鑑識分析人員應針對案件屬性及現場訪談資料，進行特定類別之關鍵字搜尋，如假設為網路惡意程式攻擊，可搜尋 IP 等關鍵字，待初步檢查後可再進一步定義關鍵字內容以便進行深入搜尋作業。（九）雜湊值比對鑑識分析人員如能取得部份證據檔案並算出雜湊值，則可透過雜湊值比對先行過濾部份範圍，以縮短鑑識流程。另建議亦可先計算剛安裝好之系統檔案雜湊值，以縮小鑑識分析調查之範圍。（十）復原日誌檔案。若未能從前述步驟找到證據，須進行復原日誌檔案並檢閱是否有異常行為。（十一）復原所有電子郵件電子郵件為資料外洩途徑之一，鑑識分析人員可檢閱電子郵件附件是否有 42.

(43) 可疑資料。檢閱電子郵件前，鑑識分析人員須確認已刪除之電子郵件是否被復原且可檢視。（十二）在未分配區域搜尋檔案若無法藉由前述步驟找到外洩之資料來源，鑑識分析人員須依照重要資料之相關屬性，執行未分配區域檔案搜尋，找出被刪除之資料。（十三）檢查系統帳號鑑識分析人員須檢查系統內是否有非法建立之帳號，若有則須確定建立時間點，作為證據之一。（十四）使用其他方式尋找證據鑑識案件經過上述步驟已可釐清部份案情後，鑑識分析人員可考量依特定案件類型使用其他鑑識分析方式進行，請見「個案分析參考說明」。（十五）證據檔案儲存. ‧ 國. 學. 鑑識分析人員應將自鑑識分析作業所產出之證據檔案或鑑識分析結果，使政治大用光碟機燒錄成光碟片或其他不可修改之存檔方式進行保存，並將驗證之立雜湊運算值一併存放，最後將光碟片做為鑑識報告之附件。. ‧. （十六）產出數位鑑識報告. y. sit er. io. （１）封面 :. Nat. １、數位鑑識報告主要內容應有下列項目 : al. n. iv. n Ch 應註明案件編號、報告單位、收件日期及報告完成日期。 engchi U. （２）背景說明 : 應註明日期、鑑識需求、數位證據資訊說明、數位證據類型及數量、現場鑑識人員及鑑識分析人員專業背景及鑑識經歷。（３）鑑識工具說明 : 應包含現場數位證據採證設備、儲存媒體複製設備及數位鑑識分析軟體。（４）鑑識程序及步驟說明 : 應包含現場證據蒐集、製作證據映像檔及證據映像檔分析程序。（５）鑑識分析結果說明 : 應包含鑑識分析結果及總結。（６）附件數位鑑識報告之附件應附加鑑識過程所產出之相關紀錄，以佐證數位鑑識報告所述資訊，包含如下 : 甲、數位證據蒐集工作表。 43.

(44) 乙、證據取得清單。丙、現場進出管制表。丁、證據監管鏈表。. 戊、燒錄之光碟片(鑑識分析作業所產出之相關數位證據)。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. 44. iv.

(45) 第六章結論與建議歸納前述章節研究成果，本章節將與既有之相關研究文章進行比較，並提出未來研究方向，供鑑識人員或組織參考。. 6.1 結論一般國內民眾目前仍對數位鑑識僅有些許認知，但數位產品及相關科技卻以一日千里的方式持續進步中，如遇駭客入侵等資訊安全事件，只能寄望數位鑑識人員前往進行政治大蒐證及後續鑑識分析作業，於此即可看出鑑識人員於資訊安全事件之重要性。倘若鑑識立. ‧ 國. 學. 人員所採取之蒐證或分析方式或鑑識實驗室之設備仍有缺漏，將導致該案件無法偵破等. ‧. er. io. sit. y. Nat. 不利於當事人之情況。本研究以國際相關鑑識標準或建議，輔以自身鑑識分析經驗，提 n. al v 供鑑識人員於各階段相關流程或環境建議，以期幫助鑑識人員完善或加快鑑識分析作業 ni C hengchi U. 之進行。惟資訊安全事件種類繁多，本研究所提供之建議仍無法完全涵蓋所有類型鑑識分析專案之鑑識分析作業內容，鑑識人員尚須審慎評估所面對之鑑識分析專案內容是否可採用本研究之建議，或僅斟酌選取部份建議用於專案執行。另一方面，數位鑑識實驗室內之設備亦為鑑識分析專案成敗與否之決定性因素，礙於特定種類鑑識分析專案發生次數稀少及組織經費考量，目前國內企業自建之鑑識實驗室大多數無法採購多樣鑑識工具以應付特定種類鑑識專案之需求，故本研究僅建議鑑識實驗室必須具備之項目及工作區域，若已擁有本研究所建議之內容，鑑識人員將得以順利完成大多數之鑑識分析專案。. 45.

(46) 6.2 研究比較與研究貢獻本研究針對數位鑑識分析作業流程及數位鑑識實驗室環境提供相關建議，研究之目的為建構符合國際標準且適於數位鑑識實務之作業流程及實驗室環境，使國內鑑識人員執行鑑識分析作業時有所參考或依據。本研究與其他研究最大之差異在於以鑑識實驗室國際認證經驗與鑑識分析實際經驗將兩者原有研究之建議更加完善，以下分別整理內容差異比較：表 6.1 研究文獻比較表項目. 林宜隆. 陳志誠. y. sit. io. al. n. 目的及功能要求. ˇ. Ch. n engchi U. ˇ. 整體環境規劃人員資格與教育訓練. ˇ. 數位鑑識實驗室建構標準之芻議. 數位鑑識實驗室建構芻議及建議分析作業流程. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. ˇ. er. ˇ. Nat. 鑑識實驗室型態. 本研究. ‧. ‧ 國. 研究方向. 學. 政治大建構數位證據鑑識標立數位鑑識實驗室準作業程序（DEFSOP）建構標準之芻議與案例實證之研究. 楊中皇. ˇ. 軟體、硬體設備. ˇ. iv. 實驗室認證. ˇ. 蒐證現場建議作業流程. ˇ. ˇ. 鑑識分析作業建議流程. ˇ. ˇ. ˇ表示研究中有提出建議 46.

(47) 6.3 未來研究方向國外之數位鑑識技術或產品發展領先我甚遠，國內僅有檢調相關單位及少數民間企業擁有足夠獨立完成鑑識分析作業之單位，足見數位鑑識人才之缺乏。未來數位鑑識領域之研究方向建議以各種不同類型之資安事件分別歸納一套鑑識分析指引，藉由區隔不同事件有不同之鑑識分析方向和標的，延伸至資安事件未發生前即保留足夠且適於進行鑑識分析之數位證據，如此方可吸引更多不同資安領域或跨領域之人才投入研究，而非僅限制於數位鑑識領域，也就是以數位鑑識領域為基準，由外而內引進數位鑑識人才進行研究或執行鑑識分析專案。. 立. 政治大. ‧. ‧ 國. 學. n. er. io. sit. y. Nat. al. Ch. n engchi U. 47. iv.

(48) 第七章參考文獻 [1] Casey, E. (2000). Digital Evidence and Computer Crime, San Diego, California: Academic Press. [2] Casey, E. (2004).Digital Evidence and Computer Crime Second Edition，forensic science, computer and the internet. [3] 王旭正、柯宏叡、黃嘉宏、詹前隆(民 96)。資訊戰攻擊與入侵證據鑑識，國家實驗研究院科技政策研究與資訊中心資通安全專論，T96010。 [4] Warren G. Kruse, Jay G.Heiser(2002). Computer Forensics. 政治大 Today. Information Systems Security, [5] Kuchta, K. J. (2002). Computer Forensics 立 ‧. ‧ 國. 學. Volume 9, No. 2, 29-33.. sit. y. Nat. [6] 林宜隆，建構數位證據鑑識標準作業程序（DEFSOP）與案例實證之研究(民 101)， n. er. io. 第 101 期司法新聲季刊，第四篇 a. iv l C hengchi Un. [7] 王旭正、柯宏叡、楊誠育 ( 民 91) 。網站入侵安全的證據存留鑑識探討， Communications of the CCISA，2002 年，Vol.8 No.4 [8] 王旭正、柯宏叡、黃嘉宏、陳世豪、張躍瀚(民 95)。資安事件之電腦鑑識即時應變工具使用研究，2006 電子商務與數位生活研討會。 [9] 財團法人全國認證基金會(民 100)。ISO/IEC 17025：2005 測試與校正實驗室能力一般要求。 [10] Douglas A. Schmitknecht(2004) ，Building FBI computer forensics capacity: onelab at a time [11] Eoghan Casey(2002).Handbook of Computer, Crime Investigation. ACADEMIC PRESS [12] 王旭正、林祝興、ICCL 資訊密碼暨建構實驗室(民 98)。數位科技安全與鑑識。新 48.

(49) 北市：博碩文化出版社。 [13] 王旭正(民 100)。數位鑑識之軌跡 VS 偽裝之滅跡。 [14] 余山亮、楊中皇(民 100)。數位鑑識實驗室建置之雛議。 [15] 蔡旻峰、陳志誠(民 93)。數位鑑識實驗室建構標準之芻議。2004 第六屆「網際空間：資訊、法律與社會」學術研究暨實務研討會。 [16] 廖惠雯、劉文港(民 97)。電腦鑑識程序之研究。資訊科技國際研討會論文集。 [17] 黃嘉宏、詹前隆、王旭正。電腦鑑識工具應用於犯罪偵查之研究。警察通識與專業學術研討會論文集。 [18] Harlan Carvey (2012).Windows Forensic Analysis Toolkit 3rd Edition，Syngress [19] 王旭正、張躍瀚、黃嘉宏、高大宇(民 95)。電腦鑑識環境建置的規劃、訓練時代政治大立需求。國家實驗研究院科技政策研究與資訊中心資通安全分析專論，T95017。. ‧ 國. 學. [20] 林宜隆、張文耀、劉耿旭。建構個人資料保護之數位證據鑑識標準作業程序。第. ‧ sit. n. er. io. al. y. Nat. 27 期電腦稽核期刊，P136-P148 Ch. n engchi U. 49. iv.

(50)