本文將介紹如何在電腦找到與SkyDrive同步後所留下的數位證據,以及Windows Phone 8對檔案更動後的情況,並以案例說明當非法者利用SkyDrive和Windows Phone 8對Office檔案進行修改時,鑑識單位可以找出留存在電腦的數位證據,確認非法者的不法行為,並描繪出不法行為與雲端證據的關聯。
由圖12可發現,20130519這個檔案曾經存在這部電腦裡,但SkyDrive的同步資料夾裡並沒有這個檔案,如圖13所示,因此可以確定該檔案已被非法者刪除。
|
▲圖13 檔案資訊。 |
之後,鑑識單位利用WinHex檢視記憶體檔案,針對20130519這個檔案名稱進行搜尋,結果如圖14所示,發現20130519這個檔案確實在這部電腦上存在過。
|
▲圖14 在RAM下搜尋檔案名稱。 |
3. 發現犯罪訊息,還原事件
由於該非法集團每個人都有一個代號,鑑識單位搜尋該電腦的記憶體檔案,利用和進行搜尋,發現DA、KUSO這兩個關鍵字都同時出現在附近的位置,因此可以推測這兩個代號為該非法集團使用的代號。再檢視相鄰的內容,發現毒品交易的資料也都出現在DA、KUSO這兩個關鍵字附近,如圖15所示。
|
▲圖15 RAM關鍵字搜尋結果。 |
鑑識單位研判DA這個代號屬於A地電腦端的非法者,KUSO這個代號是B地手機端的非法者,兩者雖在不同地方對文件進行編輯,但內容都會存在A地電腦端的記憶體內。
由於DA編輯的部分20130519、MRT、Six clock與實際交易的時間點吻合,而KUSO的回應訊息為「ok」,表示當時兩者確實有利用SkyDrive來進行文件的溝通和管理。
結語
雲端儲存服務越來越多元,使用人數也隨著時間逐步成長,除了利用電腦上的雲端資料夾來備份資料外,擁有行動裝置的使用者也會使用雲端儲存服務來儲存、備份資料。但使用這些雲端服務帶來便利的同時,也可能成為非法者的非法工具,例如拿來記錄或輔助非法行為等等。
本文利用SkyDrive的操作為基礎,並與Dropbox及Google Drive實驗進行比較,發現當對雲端檔案進行操作後,其相關的數位證據會在電腦的本地端、瀏覽紀錄及記憶體同時留下紀錄。
鑑識人員在面對非法者利用雲端進行非法行為的時候,可以透過記憶體、網頁瀏覽紀錄等方式來找出雲端儲存服務的數位證據,以證明非法者的非法行為。
最後,透過案例的說明,證實即使非法者將雲端檔案進行刪除,其相關的非法行為還是會留下蛛絲馬跡供鑑識人員還原事情的真相。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>