鑑識SkyDrive跡證 追查雲端儲存非法使用

▲圖5 Formhistory.sqlite檔案。

SQLite Database Browser檢視Web Data中的Autofill欄位，也可以看到使用者登入的Emai1，如圖6所示。

▲圖6 Web Data的Autofill欄位。

SkyDrive RAM Analysis隨取記憶體的證據、跡證
在WinHex下分析RAM檔案，Upload的使用者名稱及密碼會出現在&login及&password旁，如圖7所示。Access和Download只能找到使用者名稱。在 Download下，直接在SkyDrive資料夾下找尋完整檔案內容。

▲圖7 Upload的使用者名稱及密碼。

而在Access中，直接在線上的Office Web Apps對檔案進行編輯，檔案的內容可以利用或來對RAM檔搜尋，如圖8所示，出現在這中間的文字，即為檔案內的片段內容，再利用這些找到的片段內容拼湊起來，即為檔案的內容。

▲圖8 線上Office Web Apps編輯的內文。

對同步資料夾中的檔案進行編輯或者透過WP8手機對檔案進行編輯，相關的內容也都會以明文方式留存在電腦端的RAM記錄裡。

對RAM進行搜尋時，也可以利用或這兩個關鍵字，拼湊出原始檔案內容。利用檔名在RAM裡進行搜尋，可以找到一些關於該檔案的資訊，如圖9所示。

▲圖9 檔案資訊。

實驗結果分析

由SkyDrive的實驗結果呈現，可以得知在電腦中會找到使用SkyDrive的數位證據，將這個結果與所做的另外兩個Dropbox與Google Drive實驗比較，可發現在三種雲端硬碟下皆能夠找到雲端硬碟的相關檔案資料夾、Prefech檔案、使用者利用瀏覽器登入的名稱及E-mail，另外也找到一些關於各雲端硬碟獨有的數位證據，因此將這些結果整理成表格，如表2所示。

表2 雲端儲存服務數位證據比較

由表2可以看到，這些雲端儲存軟體皆會產生一個同步資料夾，這個同步資料夾除了可以同步檔案外，也可以利用同步的特性，找出一些關於檔案更動後的數位跡證。

除此之外，使用者登入的名稱及E-mail也同樣可以被找到，這些登入名稱能夠證明使用者或非法者曾經利用瀏覽器登入過雲端儲存軟體。

此外，也發現SkyDrive相較於其他兩種儲存軟體，可以找到多一點的數位證據，在SkyDrive下的RAM Analysis能夠找到手機編輯後的內容，這個內容雖然是在手機裡面進行編輯的，但當電腦端將這個檔案打開後，這些被手機編輯過後的內容，依舊會出現在RAM紀錄裡。

利用這個特性，就能證明非法者即使在其他地方編輯過相同檔案，其相關的紀錄還是會因電腦端開啟、修改、檢視等動作留下一些蛛絲馬跡。

情境與案例

某毒品犯罪集團平日利用雲端儲存軟體SkyDrive，進行線上交易的溝通及儲存。A地為集團總部，負責利用電腦的同步資料夾來存取資料，B地為利用手機記錄外部毒品交易資料的上傳與修改。

該集團的非法者都有一個自己專屬的代號，如圖10所示，DA和KUSO為這個集團的其中兩個代號名稱。

▲圖10 非法集團使用者代號。

執法單位發現該集團進行不法交易，在A、B兩地同步進行搜捕行動。但A地人員見執法人員在門外持搜索票準備進入時，立即將檔案做刪除，B地人員見執法人員上前準備逮捕自己，於是立即將手機丟置水溝內。

鑑識單位為了找尋相關的數位證據，決定透過A地的電腦進行搜尋，接下來以「證據保存」、「數位證據調查」、「發現犯罪訊息，還原事件」三部分內容介紹鑑識過程：

1. 證據保存
先將A地電腦端的硬碟與記憶體檔案做Bit by Bit備份，之後再利用映像檔進行資料分析。

2. 數位證據調查
首先利用SQLite Manager來檢視瀏覽器內的相關紀錄，如圖11所示，發現存在cpuicclmr@hotmail.com這個帳號，即表示非法者利用此帳號登入SkyDrive。

▲圖11 SQLiteManager紀錄。

接著，鑑識單位在「C:\Users\[usersame]\AppData\Local\Microsoft\SkyDrive\logs」路徑下檢視該電腦的SyncDiagnostics.log檔，如圖12所示。

▲圖12 檢視SyncDiagnostics.log檔案內容。