觀點

電腦鑑識方法及程序

2005 / 02 / 03
文/賴左罕
電腦鑑識方法及程序

礙於電腦鑑識科學的複雜性,目前並無所謂“獨一無二”的鑑識及調查分析方法及程序。因為即使是使用同一套方法,每個個案也會有許多不同的變數,例如:電腦作業系統平台、軟體應用程式、密碼編碼程序及其應用、以及硬體平台等。除了這些顯而易見的變數之外,另外還有一些具有相當挑戰性的變數,如:法律規範,國家與國家之間的國際關係,廣大公眾的看法,及所採用的搜證方法準則等。
這篇文章的主要目的是希望提出一些觀念及想法,讓目前需要對制訂電腦鑑識科學方法及標準程序的相關人員有一個較清楚的基礎架構,並提供給對電腦鑑識科學有興趣的資訊人才一個思考的方向。電腦鑑識工作和一般其它的資訊安全工作最大的不同之處,在於其必須能夠經得起法庭上嚴格的審判考驗,電腦鑑識人員要能夠面對法官及律師,清楚地解釋並提出支持的理論及證據,來說明其所採用的電腦鑑識方法程序、工具軟體的選用及所做的任何試驗。
鑑識科學(Forensic Science)是一門精確不可有誤的科學。它是一項冗長乏味而又一絲不苟的工作,可是鑑識人員真的可以做到完全無誤嗎?畢竟我們都是平凡人,我們不可能從來都沒有失誤,不犯錯。所以我所要傳達的重點是,如果鑑識人員能夠對這些不可預期的變數有較敏銳的預警,並發展出一個標準的方法程序是可以被遵照採用的,如此一來,當鑑識人員在進行搜證調查時,才能夠確保其所採用的方法程序是符合日後出庭審判時的審視及驗證標準。
國際間公認的觀念
目前有幾項鑑識分析的基本觀念是被國際間廣泛接受及採用的:
一個鑑識人員必須是公正不偏的。我們的工作是分析數位媒體並回報我們所發現的事實結果,而不是去對其進行犯罪或無辜的推測。
鑑識分析每次所使用的媒體(例如:軟碟或硬碟)必需是經過完整格式化,確保無其他資料之影響。(就好比醫生進行手術前必定對其手術刀進行消毒。)
進行鑑識分析前一定要對原本的媒體(original media)做一合法的影像檔(Image file),所謂合法的影像檔是指採用電腦鑑識搜證軟體對原本的媒體進行位元對位元(bit by bit)完整的影像複製,製作的影像檔一定要經過雜湊演算程序的驗證(hash verification)。而且鑑識分析時一定要使用其所複製的影像檔,不可以對原本的媒體進行分析檢驗,目的是避免對原本的媒體造成任何改變及影響,而破壞了數位證據的原始性及完整性。
在整個案件調查過程中,原本媒體的完整性必須被完整無誤地維持。這就是所謂的證據管理程序(Chain of Evidence),其所指的是證據媒體從最初的採取,到傳遞、存取、中間的保管及最後的儲存歸檔,都要有明確記錄、職責歸屬,以確保原本的證據媒體完全沒有任何機會被影響及破壞。

調查開始前的準備工作
早在調查開始前,有些準備工作是必須先進行的。好比說,我們有最優秀的電腦鑑識人員,他們全力搜集和分析過多的證據影像檔案。非常好!我們對他們的能力也很有信心,而且我們還擁有最完善的電腦鑑識實驗室、適切的裝備、正確的鑑識分析工具等等。那我們就可以說我們己經準備好了嗎?嗯...也許。
如果我們沒有辦法把鑑識過程和法律審判系統結合在一起,那所有的裝備及技巧也將無法幫助法庭成功地審判一個案子。例如,法官或律師可能會說,這些證據還不夠足以起訴被告,或是要求更詳細的採證過程之文件記錄,可是我們卻無法回到當時,重新製作那些我們所忽略的文件紀錄。所以對法律系統的瞭解,知道最基本的證據需求是什麼,也是非常重要的。從這樣的出發點,我們才可以瞭解當我們進行採證及鑑識時,要注意到哪些事項。

鑑識方法及程序的發展
由於在一個電腦鑑識案件中隱藏著許多的變數,沒有人可以真正的發展出一個最固定完美的方法程序。因此,如果可以做到下列兩點,將會對日後的鑑識分析及案件起訴的成型有莫大的幫助:
清楚明確的定義所採用的方法及程序
完全遵照所定義的方法及程序進行鑑識
就字面定義上來說,方法及程序意味著一套有條理的步驟、清楚的規則、遵從的參考依據,也就代表著有條不紊的實際應用。
為什麼要採用以上的方式及觀念呢?因為如果我們無法對我們所做的工作或我們為什麼要採用的方式做辯護的話,那被告律師代表就會有機可乘。因為法官並不懂電腦,如果我們沒有定義我們所採用的鑑識方法及程序,就好比我們承認我們每個案子都採用不同的鑑識方法及程序。那就會被質詢為什麼每個案件的處理方式不同呢?
清楚的定義我們的鑑識方法及程序,我們就擁有一個基本的工作準則 ,一套遊戲規則。這樣我們就可以告訴別人我們做的是什麼,要怎麼做,做法及步驟是什麼,這樣一切就會變得有條不紊,清清楚楚。例如,可以告訴別人這就是我們部門的標準程序,我們參照這個程序去執行每一個案子。但每個案子並不同,因為不可能有兩個案子會完全一模一樣,所以這個標準程序僅提供最基本的參考點和每個調查案中每個階段所應專注的焦點在那裏。

記錄每一件事
在鑑識調查過程中最重要的就是證據管理程序(Chain of Evidence)。在整個調查案中每個階段是由誰在保管這些關鍵證據?如果人力資源足夠,最好在每個案子的各個階段都能指派至少兩位鑑識人員進行搜證,一位執行搜證工作,另一位做完整的文件記錄工作。如此可以確保整個過程記錄的詳細度及正確性,而且也提供一個十分嚴謹的證據處理過程。在記錄文件中最重要的就是每個步驟所執行的日期及時間,負責採證的相關人員名字,以及哪個單位或人員授權執行這些步驟。
有了這份詳盡的記錄文件,便能夠反駁任何錯誤處理的責難,特別是在我們完全遵照我們所制訂的鑑識方法及程序的情況下。尤其是當一個案件審理過程過長時,這份記錄文件還可以在鑑識人員記憶模糊時做為提示的參考依據。

搜證的程序
要記得一件事,以下的程序步驟僅提供搜證時的參考依據,規則是訂死的,但我們要能夠靈活變通。而且這個領域還正在快速發展中,所以同時還要注意產業界及各國電腦鑑識人員所發表的看法及意見。
很重要的一點是表格的設計。所有電腦鑑識時會採用到的表格都要事先設計好,還有相關調查文件的申請。在每個案子,到現場搜證前,一定要將所有相關文件及表格準備好,並儘可能地申請齊全或填寫完整。例如:法院的搜查令、電腦證據送交表格、電腦證據檢視表格(硬體及媒體最好分開)、證據封條、證據流水號及證據收納袋等。(由於本人並沒有台灣法律的背景,所以在有些法律相關的用辭可能和台灣法律系統下所使用的辭彙不盡完全相同,希望專家可以提供意見。)
第一步:事前準備工作
對將要使用的媒體做完整的格式化,建議使用全新的媒體。如果預算不足,必需重覆使用既有的媒體時,要記得確保所有的資料完整被刪除,而且沒有受到電腦病毒感染。並完整記錄格式化,刪除程序及防毒檢視過程和結果。
檢查所有的電腦鑑識工具軟體是否都擁有正確的軟體授權使用許可。
檢查所有的實驗室器材裝備是否正常運作無誤。
仔細挑選指派適切的電腦鑑識人員,因為每個案子的特性不同,所需要的電腦鑑識人員之專長也將會有所不同。
第二步:攝影記錄
電腦鑑識小組人員要在犯罪現場,對所有的證據及環境作完整的攝影記錄:
對犯罪現場進行攝影是非常重要的。無論在個人家中或商業辦公室環境,攝影記錄將成為日後檢視現場的關鍵資料。高解析度的數位相機已經成為基本配備。
對犯罪現場環境作筆記。善用鑑識人員的調查技巧,將照片、個人物品等完全記錄下來。日後再進行檢視分析時,這些資訊將會非常有用。(例如:破解密碼等)
對證據本身作攝影。包含電腦螢幕、螢幕上有什麼畫面、整部電腦及週邊設備,並小心地打開機殼對內部硬體元件作攝影記錄。
對證據本身作記錄。包含電腦硬體、系統組態設定、內部磁碟機、週邊設備、設備的品牌型號及序號、設備連接的方式,以及線路接頭型式等。(例如:IDE 或 SCSI 磁碟裝置,USB 或 Firewire IEEE1394 介面等)
依照所制訂的電腦鑑識方法及程序,對證據作標籤記錄。
在對證據作完標籤記錄後,再對證據作攝影,將標籤完整拍攝下來。
記錄所有任何大小細微的事件及其進行的過程。最重要的是這些過程的時間及日期。而且最好要設計有重覆檢查的機制,目的是確保沒有任何一項資訊或證據,因人為疏忽而被遺漏或破壞。
對進出的人員作管制並錄影。這點並不總是可行,因為可能有成本及人力的考量。但其目的是可以記錄電腦鑑識小組進入犯罪現場的時間,並可以防止證據是否有被人為栽贓在現場或破壞的嫌疑。





第三步:證據的運送
將證據運送回電腦鑑識實驗室:
將證據安全牢固地打包。並注意預防靜電的釋放,有時過強的靜電會對電腦設備造成破壞,特別是在搬運的過程中。
對運送證據離開犯罪現場的交通工具、人員及處理過程作攝影、錄影及文件記錄。
對運送證據進入電腦鑑識實驗室的交通工具、人員及處理過程作攝影、錄影及文件記錄。


第四步:鑑識準備工作
接下來便是要準備對證據作影像檔(Image file)的複製:
取出證據,依據電腦鑑識方法及程序一一記錄所有的時間、日期、鑑證人員。
檢視電腦證據,記錄任何表面看來不尋常的組態設定或記號。
對電腦證據進行影像檔複製。建議測試多個不同的電腦鑑識軟體,例如:EnCase、Unix DD、Safeback 等。因為每個軟體有不同的長處及特性,所以對這些鑑識軟體的使用越熟練,便越能利用其各個不同的優缺點特性。
將防毒軟體關閉。
記錄電腦CMOS (就是我們一般常說的BIOS) 的時間及日期。這是非常重要的一點,因為時區設定的不同,將會有時差問題,會影響日後調查的時間點。
絕對不要將證據電腦開機。製作影像檔的方式有很多種,但關鍵是一定要在可信任的電腦系統上製作,因為我們不希望在製作過程中有任何不可預期的驚奇或意外發生。
在製作位元對位元複製的影像檔時,製作的方法及過程要完整記錄。依照電腦鑑識方法及程序記錄時間、日期及鑑識人員的名字,所使用的工具軟體及方法等。
在製作影像檔的過程中,絕對要確定鑑識工具軟體沒有對電腦證據的檔案系統做存取動作。不能對原本媒體的檔案系統有寫入動作,或改變任何檔案的時間或日期的動作。
在完成影像檔製作後,將原本的證據媒體密封於防靜電袋內,記錄並簽名,再將密封的證據媒體存放至保險箱內。建議製作第二份影像檔作備份。


第五步:鑑識過程
接下來便是要正式開始對證據影像檔(Image file)作鑑識檢驗。
不同的作業平台有不同的鑑識方式(例如:Windows 9x, 2000 和 Linux),不同的媒體也有不同的檢驗方式(例如:軟碟,光碟或硬碟)。因此必需事先對各個不同的作業平台及不同的媒體制訂其標準電腦鑑識方法及標準程序。
必須挑選對該平台或媒體有較深入的經驗及專業知識的電腦鑑識人員。
完整記錄鑑識過程並提出試驗證據來支持鑑識的理論。例如:這個軟碟上是被 windows 98 的快速格式化(Quick Format)製作過的。因為鑑識人員在不同的平台上採用各個不同的方式進行格式化,結果都不相同,只有在Windows 98上的試驗結果是完全相符的。

結論
本文僅對電腦鑑識方法及程序提供一個基本架構及觀念。目的是要傳達一套有組織系統且完善嚴謹的鑑識方法及標準,這對犯罪現場的數位證據處理是非常重要的,而文件記錄是一件非常無趣但卻是非常重要的一項關鍵。
由於電腦鑑識領域仍屬於極為新興發展的階段,而且還需要司法系統的相互配合及支持,以期有朝一日數位證據能夠被司法系統接受。
本文作者前任職於英國電腦鑑識顧問公司 Intelligent Forensics。歡迎任何意見交流: han_lai@yahoo.com