本篇將探討USB裝置的反鑑識行為及其對應的數位鑑識與證據舉證,並透過一個公司機密資料被竊取之情境案例來說明相關數位證據調查,提供遇到反鑑識手法之犯罪行為時,依然能萃取重要的有效數位證據。
目前通用序列匯流排(Universal Serial Bus,USB)在資訊與生活中的各個領域已被廣泛地運用,USB深受大眾喜愛的原因是能夠提供使用者快速、便利以及功能多樣的應用,在使用上提供易於操作的單一標準介面,最多可以同時連接127個裝置,並且具備熱插拔(Hot Swapping)、隨插即用(Plug-and-play,PnP)及高傳輸速率特性。
USB介接運用上有傳輸媒介與儲存媒介之分,因為當作儲存媒介之USB儲存設備具備體積小且易於藏匿的性質,可輕易取代光碟片與軟碟片,甚至能作為嵌入式裝置的作業系統,所以在資料儲存的使用上比較有資安層面的疑慮。目前最常使用的系統平台為Windows作業系統,根據Net Market Share網站顯示,彙整各個作業系統的使用率如表1所示。
表1 各個作業系統之使用率
這裡以目前使用率最高的Windows 7作業系統作為鑑識環境,來探討當一個新的USB裝置接到主機時,Windows作業系統會將USB裝置的相關資訊自動更新到Windows的登錄檔(Registry)與日誌檔(Log files)內,且在USB裝置拔除後,相關的更新紀錄仍然存在,鑑識人員即可利用這些資訊來辨識USB裝置為何,以及其最後拔除的時間,接著分析些資訊,以供還原現場情境。
USB裝置雖帶來許多便利,但也造成許多資安威脅,有心人士更針對USB開發出反鑑識技術,如日誌檔的竄改等,往往會阻礙鑑識程序的進行,為了因應這些衝擊,必須了解USB裝置可能的反鑑識手法並從中找出解決方法,以有效地取得相關數位證據。
基本概念說明
數位鑑識可能會牽涉到USB裝置的使用跡證,為了能夠了解有關USB裝置的數位鑑識,以下從Windows登錄檔的基礎概念開始介紹,再探討USB的鑑識方法。
Windows登錄檔介紹
Windows登錄檔為作業系統的核心資料庫,其中存放使用者、裝置及系統資訊,可由附屬應用程式(Accessories)點選執行(Run),再輸入「regedit」即可開啟登錄檔編輯器,如圖1所示。
|
▲圖1 開啟登錄檔編輯器。 |
登錄檔包含5個主要的鍵值機碼(HKEY),每個鍵值皆包含許多子鍵值,以階層樹狀方式存放於登錄檔中,如圖2所示。
|
▲圖2 登錄檔結構。 |
在「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USB」中可找到所有曾經連接到作業系統的USB裝置,當中以16進位表示USB裝置的供應商編號(VID)、產品編號(PID)及改版編號(MI),如圖3所示。
|
▲圖3 檢視USB裝置的登錄檔位址。 |