電腦鑑識簡介 黃姿蓉 2011.07.22 隨著資訊科技的發達,電腦和網路已成為生活中不可或缺的基本 設備,而利用網路技術及資訊設備犯罪更是不可避免的趨勢。電腦鑑 識,亦稱數位鑑識,屬於鑑識科學的分支,泛指所有利用電腦設備為 媒介進行犯罪的鑑識工作,主要在處理相關的數位證據之保留、鑑 定、萃取及文件化,以確保事件現場電腦物證及相關證據的原貌,作 為法院審理犯罪案件的重要參考依據;取證對象則包含了所有的數位 物件,如電腦系統、儲存媒體、電子檔案、網路的傳輸封包…等。 電腦鑑識除了是審理案件的參考依據,也能成為民眾自我保護的 工具。當無辜的第三者被犯罪者利用成為嫌疑犯時,可以藉由此項技 術找到有利於己的證據,掃除被污陷的嫌疑。舉例來說,老實的甲先 生在乙公司上班,但是他的帳密被離職的丙同事盜用而不自覺,丙同 事藉機偷取公司的機密資料轉賣外部收購人員,不久後乙公司發現資 料外洩開始追查;此時若要證明甲先生的清白,唯有仰賴電腦鑑識的 技術,找出有利的物證還其清白。 電腦鑑識的標準程序大致上分成四個部份,分別是蒐集、保全、 分析、報告: 一、蒐集 數位鑑識案件的蒐集程序需注意錄影與記錄兩項重點。拍照或錄 影能證明證物從被搜索現場到被保全的安全場所,未被外力所改變與 汙染;而所有可能儲存數位犯罪證物的地方,如個人電腦、伺服器、 隨身碟、手機、MP3 播放器、車用衛星導航…等相關的週邊設備、配 件及儲存媒體也應該一併納入搜查與紀錄範圍。 二、保全 數位證據有容易損毀和易遭竄改的特性,因此在保存過程中對於 證物的包裝、運送、儲存及維護要採取適當的保護措施,例如避免溫 度過高、溼度過大、靜電、磁性、撞擊等容易對證物造成損害的來源 及動作,亦不得對儲存媒體之內容有增加、修改、破壞的動作,以確 保原始資料之完整性。 至於分析前的準備工作,由於數位鑑識工作應該盡量避免污染原始資 料,一般而言會事先將資料備份,選在其他的數位鑑識設備上進行分 析,原始設備則需管制,以確保其安全。
三、分析
系統事件都會留下紀錄(系統日誌檔),網路瀏覽行為亦會留下 紀錄,譬如:Cookie、網頁暫存檔(Temporary Internet Files)、 連線歷史紀錄(History)…等,這些資料都可以幫忙找到犯罪的證 據。目前硬碟資料的分析大致可以分為以下幾種: (一)刪除檔案復原 大部分系統的設計在刪除資料時,並沒有真的將資料清除,只是 將該空間重新標示為『未使用』,因此可以尋找磁碟空間內『未 使用』的區塊,嘗試回復該空間的資料。 (二)檔案時間戳記 在處理檔案的時間戳記時必須注意時區設定是否正確,若時區設 定錯誤則會產生誤差。 (三)關鍵字搜尋 若已知相關的關鍵字,就能快速搜尋文件檔案。 (四)系統日誌檔 藉由日誌檔中對於特殊或異常事件的紀錄,能了解系統的運作狀 態。 (五)網路封包 各種封包側錄工具所錄下來的資料皆可透過封包分析的動作進 行犯罪偵查。 四、報告 報告主要是依照公文來函機關的要求,呈現出對方的實際需求, 主要撰寫原則如下: (一)確定目標: 藉由送鑑證物所附的案由說明文件便能確認鑑定的目標。 (二)清楚、完整記錄: 對於證物外觀、檢驗的步驟與方法,皆須清楚完整的紀錄。 (三)唯一識別編號: 每項證物在報告中應具備唯一的識別編號。 (四)內容描述應客觀: 記錄證據代表的意義時應該客觀描述,不應添加任何推論的語 句。 (五)以表格描述為主,圖片為輔。 與日俱進的高科技產業為人類帶來了便利的生活模式,各式各樣 的行為活動也隨著科技產品的使用而留下許多紀錄,即使是犯罪 者也無法遠離這些資訊設備,如果能提升數位證據串連、整合的 能力,相信對於案件的偵查會有幫助。
資料來源: 一、 資訊與網路安全 秘密通訊與數位鑑識新技法 王旭正、柯宏 叡著 二、 數位世界之刑案現場調查(上、下) 三、 http://www.informationsecurity.com.tw/article/article_detail.aspx?c1i d=1&c3id=5&aid=6015
