上一期為有興趣成為電腦CSI的讀者介紹了相關的電腦鑑識教學課程,本期將更進一步介紹目前電腦鑑識相關的專業認證,及業界常使用的電腦鑑識軟體。
專業認證
目前業界較專業的電腦鑑識認證為:(請注意,以下認證是以認證課程字母順序排列,並非產業熱門程度或是市場接受度排名。)Certified Computer Examiner(CCE) – The International Society of Forensic Computer Examiners
由國際電腦鑑識人員協會(The International Society of Forensic Computer Examiners – ISFCE)主辦的認證,可以算是目前產業界中最主要的電腦鑑識專業認證。認證的過程及方式完全採用和提供給美國軍警及情治單位人員相同的方法。認證基本條件,必須身家清白,無任何犯罪記錄。
認證方式分為兩種:
? 參加CCE訓練課程(無電腦鑑識相關工作經驗)
課程為期5天,包含理論及上機實作,在課堂上並提供案例作分析,以及使用相關的電腦鑑識工具及軟體。課程內容包含如下:
第1天:電腦犯罪證據、鑑識倫理標準、電腦鑑識程序及方法、電腦鑑識報告撰寫,電腦軟體及硬體、不同的作業系統平台介紹、法律及隱私權問題等,並有一份報告考試。
第2天:DOS及Windows開機程序、救回被刪除的檔案、檔案時間重要性的分析、救回刪除的目錄及子目錄中的檔案、實務上機操作進行刪除檔案復原,並要作一份報告考試。
第3天:專注於NTFS檔案結構鑑識分析,並要作一份電腦鑑識報告及考試。
第4天:如何製作Windows 98開機鑑識磁片、如何進行採證,如何運用不同的方式採證電腦鑑識影像檔(bit-by-bit Forensic Image)、電腦鑑識過程中會面臨的挑戰、尋找隱藏的證據、安全的處理證據、存取Office檔案的Metadata資訊,並有實務上機操作有關如何將資料從暫存置換檔(SWAP file),暫存檔中救回,破解保密文件的密碼等,並有一份報告考試。
第5天:檔案型式及格式介紹,鑑識分析光碟,資料管理,在法庭說明數位證據的技巧,電腦證據的標示、管理、保存及運送。Forensic Tool Kit(FTK) 電腦鑑識工具的使用,並且要對特別準備的硬碟證據作一份電腦鑑識報告。
由於內容過多, 以上只是概略介紹,各位讀者可以在以下連結看到5天上課的詳細內容及資訊。(
http://www.cce-bootcamp.com/details.htm)。課程最後還要完成一份書寫的考試報告及一份線上考試,如果以上受訓過程中的考試報告及最後的線上考試都通過,便可順利取得CCE電腦鑑識員認證。
? 直接報考CCE認證(有3年電腦鑑識相關工作經驗)如果各位讀者己具備3年的電腦鑑識相關工作經驗,可以不用參加CCE訓練課程,而直接報考認證,但必需填寫過去的相關電腦鑑識工作經驗表格並寄給ISFCE作為審核,一但審核通過,便可直接進行考試。
直接報考總共有一份線上考試及3份電腦鑑識報告要完成,每一個考試過程都必需完成並通過後,才可以進行下一關,整個認證過程必需在3個月內完成,也就是說每一份電腦鑑識報告只有1個月的時間去完成。考試過程包含:
? 線上考試(要取得75%)。
? 第一份電腦鑑識報告: 軟碟證據( F l o p p y I m a g e ) ( 要取得75%)。
? 第二份電腦鑑識報告:光碟證據( C D - R O M I m a g e ) ( 要取得75%)。
? 第三份電腦鑑識報告:硬碟證據(Hard Drive Image)(要取得75%)。
鑑識報告所評分的重點,不是只有技術性的,還包含電腦鑑識的方法及程序(Computer Forensics M e t h o d o l o g y ) 及證據管理程序(Chain of Evidence)。如果以上的線上考試及3份鑑識報告都通過,便可以順利取得CCE電腦鑑識員認證。CCE認證有效期限為2年,每2年要重新認證。需在1個月內完成一份軟碟的電腦鑑識報告,通過後便可取得認證。
EnCase Certified Examiner(EnCE) – Guidance Software由電腦鑑識軟體的權威Guidance Software所提供的EnCase鑑識員證照。認證課程主要著重於利用EnCase電腦鑑識軟體來進行電腦鑑識。
EnCE 的訓練課程包含以下各個階段:
最基本的EnCase Essentials訓練課程上課內容包含如下:
? 數位證據及電腦運作方式。
? EnCase電腦鑑識方法及程序。
? FAT及NTFS檔案系統基本架構。
? 如何利用EnCase建立一個案件,並預覽及採證數位媒體。
? 利用基本的關鍵字搜尋技巧。
? 分析檔案特徵及預覽檔案內容。
? 還原證據。
? 保存分析過程中所建立的檔案及資料。
? 準備鑑識報告作為法庭之用。
? 驗證證據檔案。
進階的EnCase Intermediate Analysis and Reporting訓練課程上課內容包含:
? 建立並使用邏輯證據檔。
? 確認及復原刪除的磁碟分割表及檔案夾。
? 使用GREP方式進行進階的關鍵字搜尋。
? EnCase虛擬檔案系統(Virtual File System)和實體磁碟模擬(Physical Disk Emulator)。
? Windows Registry(登錄檔)。
? 檔案、目錄及整個磁區的檔案輸出。
? 利用雜湊值(hash value)識別檔案及建立雜湊資料庫( hash libraries)。
? 識別Windows XP 作業系統所產生的檔案, 例如鏈結檔( link files)、資源回收桶、使用者資料夾。
? 鑑識報告準備及法庭技巧。
? 復原暫存置換檔(SWAP file)及列表檔案(Spooler files)。
? 復原列印出的文件及傳真的頁面。
EnCE認證考試分為兩部份:
? 第一階段要完成電腦線上考試(
http://www.2test.com)。必須要取得80% 成積。
? 第二階段要完成一份電腦鑑識報告。必須在60天內完成,而且需達到85%。
成功完成以上兩個認證階段,便可取得EnCE 鑑識員認證。EnCE認證有效期限為2年,每2年要重新認證。2年內必須要維持有64個持續接受電腦鑑識或緊急事件應變(Incident Response)教育訓練的學分,便能持續取得EnCE認證。GIAC Certified Forensics Analyst (GCFA) – SANS Institute, Global Information AssuranceCertification由美國最有名的資訊安全訓練組織SANS Institute(SysAdmin, Audit, Network,Security, Institute)所主辦的專業認證GIAC(Global Information Assurance Certificate),被認為是目前業界中最技術性的專業認證。
C G F A ( G I A C C e r t i f i e d Forensics Analyst)電腦鑑識分析師認證課程主要為5~6天的訓練課程,課程內容包含基本的電腦鑑識概念及鑑識方法、基本及進階的電腦鑑識工具及鑑識技巧(Windows及L i n u x ) 、緊急事件處理方法及技巧( I n c i d e n t h a n d l i n g techniques)。課程內容並包含決策管理、法律問題及技術性的實務。認證過程必需通過兩項線上考試,一項專注於Windows作業平台的電腦鑑識,另一項專注於Linux作業平台的電腦鑑識。兩項考試都必需通過達到70 %。
GCFA認證有效期限為4年,每4年後要重新認證。
電腦鑑識軟體
在受過有系統的專業訓練課程之後,一位電腦鑑識員應該要對自己吃飯的傢伙有很深的了解,正所謂「工欲善其事,必先利其器」。目前業界及世界各地司法系統接受度最高的電腦鑑識分析軟體工具為下:(請注意,以下鑑證軟體是以字母順序排列,並非產業熱門程度或是市場接受度排名)
? Access Data – Forensic Tool Kit(FTK)
http://www.accessdata.com/products/ftk/? Guidance Software – EnCase Forensic Edition
http://www.guidancesoftware.com/products/ef_index.asp 熟悉這兩個鑑識分析軟體將對進行電腦鑑識分析有非常直接的幫助,因為可以透過整合式的工具,利用系統自動化的效率,有效的降低分析的時間,並可將省下的時間花費在提昇鑑識分析的品質上。當然電腦鑑識工作不是只靠一兩套工具就可以行走大江南北,不同的鑑識領域,還需要不同的專業技巧及特殊工具。例如:Foundstone提供很多免費的小型鑑識工具用以針對不同的網際網路資訊鑑識之用。
? Galleta—檢視 Internet ExplorerCookie的內容。
? P a s c o — 針對調查 I n t e r n e t Explorer 的活動記錄。
? Rifiut—檢視Windows作業系統中資源回收桶的INFO2刪除檔案記錄。
? Vision—檢視所有TCP及UDP連線所對應的處理程序及應用程式。
詳細完整的工具列表可參考以下網路連結(
http://www.found s t o n e . c om/ r e s o u r c e s /forensics.htm)。
若是要進行動態採證( L i v e Ac q u i s i t i o n),最理想的免費工具是e-fense所製作的Helix Live CD (
http://www.e-fense.com/helix/)。基本上它是利用Knoppix Live Linux CD經過客製化後,針對電腦鑑識及緊急事件應變所設計出來的,在設計開發過程中佐以電腦鑑識方法程序為開發設計的中心指導原則,所以使用結果不會對所要鑑識的電腦進行任何修改或造成任何影響,因而破壞數位證據的原始性及完整性。在此僅介紹最主要及基本的電腦鑑識分析工具,當然還有許多針對特殊場合的電腦鑑識工具,礙於篇幅,將不在此一一列舉,日後有機會再逐一介紹。