https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

漫談電腦鑑識流程與技術

2007 / 12 / 20
刑事警察局科技犯罪防制中心
漫談電腦鑑識流程與技術

了解電腦鑑識
隨著科技不斷進步,犯罪手法日益翻新,刑事警察局自95年4月成立科技犯罪防制中心以來,針對新興科技(資、通訊)犯罪手法不斷研究偵查與防制之道,如非法電信機房查緝與掃蕩、電腦鑑識與事件調查、網路詐騙監控與分析等,皆與民眾生活息息相關,影響社會治安甚鉅。然就目前國內司法單位才起步之電腦鑑識而言,刑事警察局科技犯罪防制中心主任李相臣以敏銳的眼光,看準未來數位證據對於犯罪偵查之重要性,特於該中心成立電腦鑑識實驗室,研發最新電腦鑑識技術,培育電腦鑑識專才,以解析數位資訊特徵,協助全國警察機關偵辦各類刑事案件,並接受各地法院、檢察署等司法機關等送鑑相關數位證物,迄今已成功處理百餘件涉及刑事案件之電腦鑑定案。

電腦鑑識為一種運用科學的技術與方法,對數位證物實施蒐集、分析、鑑定與保存等作為。換言之,電腦鑑識是當事件正發生或發生後,對電腦(資訊)系統或設備找尋與案件有關的數位證據之系統化活動或作為,而經此系統化之作為所呈現的證據,可做為法庭所接受之證據。數位證據具有易被修改、損毀、偽造與刪除的特性,因此,在現場處理證物時,必須在不改變原始證據(最小更動)的原則下,將證物加以記錄、保存、送往鑑驗等,且務必保持證物鏈之完整。



現場資料蒐集
電腦鑑識人員最常遇到的就是配合偵查人員到達刑案現場協助搜索等法律作為,這與在實驗室分析硬碟資料不同,在現場您所遇到的狀況相當多,如何冷靜、沉著的處理現場各式各樣電腦設備,有賴平日的相關技術學習與現場處理經驗的累積;通常未有處理現場經驗的人,只會將電腦「抱」回來實驗室分析,但如此有可能遺漏了某些重要資訊,因為刑案現場除了非揮發性資料(如:硬碟資料)的蒐集外,對於電腦正開機的狀態下,亦須考慮揮發性資料(如:當時記憶體內容、作業系統正在執行的程序、服務、網路連線、開放之通訊埠、使用者登入等資訊)。揮發性資料簡言之就是電腦關機後會不見的資料,如果到了現場未加思考而逕行關閉電腦,將無法重現該台電腦當時實際運作情況,很有可能部分證據或重要偵查訊息因而遺失,僅剩硬碟內所存放的資料,是否與案情有關就得看運氣了。

現場資料之蒐集可以使用Windows Forensic Toolchest(WFT,見圖1)或是Computer Online Forensic Evidence Extractor (COFEE,見圖2)等工具,這些軟體工具整合了許多命令列(Command Line Tools)查詢工具(如Windows內建之cmd.exe、netstat.exe,systernals的pslist.exe,foundstone的fport等),並將命令列工具所產出之結果,採用標準化格式(如XML)輸出並加以驗證,以符合鑑識要求。

綜言之,WFT與COFEE軟體工具可以幫助鑑識人員蒐集現場電腦資料如下:

1. 實體記憶體資料(DD支援讀取Physical Memory)。

2. 硬碟檔案的MAC(Modify、Access、Create)時間。

3. 電腦系統基本資訊(如CPU、開機時間、帳號、稽核等)。

4. 處理程序資訊(DLL、Handle等)。

5. 系統服務(System Services)的類別。

6. 網路連線的狀態與通訊埠的資訊(Network Info)。

7. 載入之驅動程式列表(Drivers)。

8. 登入系統之使用者資訊(Login)。

9. 系統事件日誌(Event Log)。

10. 系統自動啟動項(Auto Runs)。

11. IE歷史記錄(IE History)。

12. 受保護的系統存儲資料(Protected Storage)。


製作硬碟副本
經過揮發性資料的蒐集後,再來說明非揮發性資料的蒐集方式(如:硬碟、USB Disk等),何時需要製作硬碟副本呢?(1)為了維護電腦系統的持續運作,硬碟無法帶離現場時。(2)需要鑑定硬碟資料,且不可修改或破壞原始硬碟資料時,所製作的副本資料必須符合鑑識要求。市面上常見的資料備份軟體(如:Ghost等)並不符合鑑識要求,製作硬碟副本的工具須以位元流的方式拷貝外(Bitstream Copy,即100G的硬碟會製作出100G的檔案,即便僅使用50G的硬碟空間。),所製作出的副本也要能夠被他人所驗證。

以美國的最佳證據法則(FER 1002)而言,其定義何謂原始證據(或稱最佳證據),在法院審理時要求檢方必須提出原始證據,另外副本的證據能力(FER 1003)則規範副本的來源必須是要從原始證據獲得,而經由原始證據產生的副本其法律效力與原始證據相同。因此,鑑識人員得以使用副本進行解析,但必須能夠證明副本是由原始證據產生,如何能證明副本和原始證據是一致的呢?現今之作法採用訊息摘要演算法如MD5、SHA-1等,比較原始證據與副本之間的驗證碼(雜湊值)以推定兩者是否一致較為常見。

目前製作硬碟副本採用軟體或硬體二種方式,軟體有Access Data的FTK Imager(如圖3)、開放原始碼的DD程式(已整合至Helix LiveCD如圖4)與Guidance的EnCase(如圖5),硬體部分有Logicube公司的Forensic Talon(如圖6,掌上型硬碟副本製作工具)、Intelligent公司的MASSter等。這些副本鑑識工具必須符合下列原則:

1. 具有容錯能力,遇到壞軌仍能持續進行,並記錄錯誤資訊(遇壞軌通常會填零)。

2. 鑑識工具不可改變原始硬碟資料。

3. 可重複製作,產出結果能夠被第三方所驗證。

製作副本的工具雖然眾多,但以目前硬碟容量來看,普遍性都在100G以上,而且儲存空間有越來越大的趨勢,若每顆硬碟皆以軟體方式製作副本,將相當耗時,動輒3或4個小時,故刑案現場欲製作硬碟副本宜採用硬體設備方式製作,以Forensic Talon為例,每分鐘約可傳輸3.69G計算,一顆120G的硬碟製作副本約僅需32分鐘,大大的節省製作副本的時間。



硬碟鑑識分析
經過資料蒐集階段,所得到資料應與原始硬碟一模一樣的複製品或是映像檔。接下來介紹如何使用這些硬碟副本,進行資料內容之鑑識分析,其作法有三種,說明如下:

將映像檔載入鑑識軟體分析

◆ 優點:

.將已刪除之檔案加以還原。

.迅速查尋硬碟空間的使用狀況(如:殘存空間、未使用、分配空間等)。

.自訂搜尋腳本,尋找硬碟內特定或與案情有關之資訊。

.以專案方式載入,以利於日後管理與稽核。

◆ 缺點:

.無法使用檔案總管的方式瀏覽資料夾與檔案。

.無法對映像檔內檔案進行病毒掃描。

.使用映像檔內檔案時須匯出,遇大量且不同目錄下檔案匯出較為繁瑣。

◆ 使用工具:

.EnCase (http://www.guidancesoftware.com/)

.Forensic Toolkit (http://www.accessdata.com/)

將映像檔掛載成一個或多個虛擬磁碟機

◆ 優點:

.成為OS檔案系統的一部分,以檔案瀏覽器瀏覽硬碟內容,使用上極簡便。

.設定掃毒軟體對掛載之磁碟機進行病毒掃描。

.設定VMware軟體使用該掛載之磁碟機模擬系統開機。

.使用鑑識軟體載入虛擬磁碟機進行分析(這部分等同載入映像檔)。

◆ 缺點:

.除非使用復原軟體,否則無法將已刪除之檔案加以還原。

.不可迅速查尋硬碟內任何殘存空間資料。

.不可自訂搜尋腳本,無法尋找硬碟內所存放之特定資訊。

.並無專案管理功能。

◆ 使用工具:

Mount Image Pro (http://www.mountimage.com/,可以掛載DD、EnCase、FTK等鑑識軟體製作出的副本檔,成為本機磁碟機),另外MIP並不會改動所掛載之硬碟副本檔,符合鑑識要求。

利用VMware軟體掛載成虛擬磁碟並啟動作業系統

◆ 優點:

.直接啟動硬碟副本內作業系統,呈現主機開機執行狀態,身歷其境。

.在作業系統上執行掃描程式,對查找惡意程式有極大助益。

.了解電腦中使用的應用程式,易掌握該電腦使用之版本。

.製作系統快照,便於下次啟動分析,亦不會更動硬碟副本。

.因鑑定需要更動之資訊均存於虛擬磁碟,不會影響硬碟副本,符合鑑識要求。

◆ 缺點:

.除在開機後系統中安裝復原軟體,否則無法將已刪除之檔案加以還原。

.不可迅速查尋硬碟中任何殘存空間資料。

.不可自訂搜尋腳本,尋找硬碟內所存放之特定資訊。

.並無專案管理功能。

◆ 使用工具:

.LiveView (http://liveview.sourceforge.net/)

LiveView為一開放原始碼軟體,可讀取DD所產生的原始硬碟副本檔並產生VMware軟體相關設定檔(.vmdk),鑑識人員可以透過VMware或VMPlayer軟體開啟vmdk檔來啟動映像檔內的作業系統(Windows或Linux),以此方式啟動副本之作業系統就如使用實體硬碟開機一般,完整呈現系統開機流程,對於查找電腦中之惡意程式有極大的助益。LiveView以自動化方式產生vmdk檔,幫助鑑識人員免除一些繁雜的設定動作,例如:

1. 若副本不是針對實體硬碟製作,而僅是某個可開機分割區時,LiveView會自動幫您產生主要啟動記錄(MBR)。

2. 若鑑識副本非來自於Intel晶片組的硬體,開機時會出現0x7B的系統錯誤(因vmware是模擬Intel 晶片組),必須複製intelide.sys至系統目錄、修改系統登錄值才能啟動,而LiveView則會偵測副本內系統是否存有intelide.sys,並自動設定相關系統登錄、產生磁碟快照等,以利鑑識人員進行鑑定分析。

3. 若因鑑定需要而修改的動作皆存於快照,並不會修改原始硬碟副本,符合鑑識要求。

經過以上介紹,我們深刻的體驗,在這多元化的數位應用時代裡,必須加緊腳步學習電腦鑑識相關技術,跟上變化快速的資訊社會,提供各種被利用於犯罪活動的數位化資訊的解析服務,以協助警察維護社會治安,而本文以刑事警察局科技犯罪防制中心處理案件所累積的實務經驗,介紹Windows現場鑑識與磁碟副本製作等基礎原則與方法,就如同敲門磚,未來將陸續以實際案例方式與讀者分享電腦鑑識技術與所面臨之挑戰。