數位鑑識 資訊安全 洋蔥路由 網路 暗網 隱私

暗網深藏犯罪淵藪 TOR鑑識剝開洋蔥網路

近期資安事件頻傳,犯罪者為避免遭到追緝,會盡可能地不留下犯罪跡證,例如使用洋蔥瀏覽器(Tor Browser)。為更了解洋蔥瀏覽器的運作原理,本文將說明洋蔥路由的組成及運作,並利用案例實作,使用鑑識工具來進行洋蔥瀏覽器使用之偵測,以掌握並分析犯罪者的動態。


將所得的memdump.mem檔匯入HxD,得到此檔的十六進位碼,如圖18所示。


▲圖18 memdump.mem檔的十六進位碼。


然後輸入字串「onion」進行搜尋,獲得瀏覽網址,如圖19~20所示。


▲圖19 搜尋字串「onion」。


▲圖20 獲得瀏覽網址。


如圖21所示,還原使用者所瀏覽的頁面。


▲圖21 還原頁面。

實例演練

隨著網際網路時代的到來,越來越多人可以透過網路來獲得各類資訊,學習到各種知識。然而,「水可載舟,亦可覆舟」,有些人透過網路增廣自己的視野,立足國際,有些人卻透過網路,隱藏在螢幕背後從事各種不法行為,且自以為神不知鬼不覺而暗自竊喜。殊不知「法網恢恢,疏而不漏」,透過數位鑑識工具,依舊能夠還原真相,使之接受應有的法律制裁,身為暗網交易大老的甲君即是一例。甲君為一位以比特幣在網路上進行不法交易之大老,並將所得的比特幣兌換成現金供自身日常使用。甲君為使自己透過虛擬貨幣,進行交易的行蹤不被暴露,因此特別喜歡使用Tor,以躲開調查人員追查金錢流向,避免暴露行蹤。儘管交易規模龐大,甲君仍保持其低調的作風,相關交易物品之運送均交由其合夥乙君處理。

今於一宗毒品買賣交易中,甲君、乙君因為利益分配而起衝突,乙君欲揭發罪狀,玉石俱焚,因此匿名向調查人員舉報,甲君使用Tor Browser,並以比特幣的方式進行毒品買賣。故調查人員開始追查甲君的行蹤及財務狀況,發現甲君並無固定工作,但家中卻有數輛保時捷跑車,且具有多個帳戶,每個帳戶均不定時會有大筆數額的金錢流轉,藉此疑點,及乙君的匿名舉報內容,調查人員遂尋求司法單位的合作,傳喚甲君到場說明。

然而,甲君到案後卻矢口否認自己有使用過Tor Browser來瀏覽販賣毒品之網頁,以及毒品交易的犯罪行為,於是調查人員透過數位鑑識工具(如FTK Imager、HxD),針對甲君在於Windows 10底下的殘留資料進行數位鑑識及資料還原,以獲得其使用過洋蔥瀏覽器之犯罪跡證,其鑑識手法如下所述:

整個鑑識的操作過程如圖22所示,場景環境是在Windows10下使用Tor Browser,鑑識工具則採用FTK Imager、HxD。該鑑識目的是為了證實甲君有在自己電腦使用Tor Browser瀏覽販賣毒品的網頁,並有毒品交易的犯罪行為產生。詳細的鑑識方法說明如下:


▲圖22 鑑識實作流程。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!