本篇將介紹網路上常見的檔案加密與檔案隱藏工具,探討如何進行隱藏資料的追蹤,並透過偽造證件集團之情境案例來說明相關的數位鑑識調查過程,藉此有效地萃取證據。
重要的是,TrueCrypt提供跨平台功能,能夠在隨身碟上分割出一個虛擬的加密磁區,所有加密的資料會放在該磁區的加密映像檔中,若要使用加密的磁碟分區,只要選擇先前設定的加密映像檔並輸入密碼,即可開啟加密的虛擬磁區,相關操作步驟如圖6所示。
 |
| ▲圖6 開啟加密的虛擬磁區。 |
TrueCrypt軟體在建立加密分區時,會產生一個加密映像檔到使用者所指定的存放位置。找到檔案路徑內的加密映像檔並打開後,如圖7所示將呈現加密後的亂碼,並且該加密映像檔的容量只略多於加密分區一些。
 |
| ▲圖7 開啟加密映像檔內容。 |
因此,加密映像檔是受到TrueCrypt軟體加密保護,如果沒有輸入密碼進行TrueCrypt的掛載,是沒有辦法讀取加密分區內的檔案。
磁區加密在使用上類似一個保險箱,當有需要進行加密的文件,只要丟入該磁區內就會自動進行加密,而其他類似的磁區加密軟體有BitLocker、FileVault、PGP等,但是其資料加密機制卻沒有TrueCrypt來得強固。
檔案隱藏加密工具—Wise Folder Hider
檔案隱藏軟體是透過一種偽加密技術來將檔案進行隱藏,並不是真正地對檔案內容做加密,通常隱藏軟體會更改檔案路徑來達到隱藏的目的,這裡以Wise Folder Hider檔案隱藏軟體來做說明。
Wise Folder Hider是目前常見的檔案隱藏軟體,提供人性化的操作介面,使用上相當方便,使用者能夠直接以滑鼠右鍵或是拖曳至視窗的方式來進行資料隱藏,可對硬碟或USB隨身碟內的檔案進行隱藏。
進行隱藏時,需要設定密碼,設定完成後,檔案就會消失不見。當要取回檔案時,只要開啟Wise Folder Hider輸入軟體登入密碼,再找到要取回的檔案輸入解鎖密碼,就能夠取回原有的檔案,相關操作步驟如圖8所示。
 |
| ▲圖8 檔案隱藏軟體操作過程。 |
一般大眾若運用檔案隱藏軟體來隱藏隨身碟中的重要文件,可用來避免同事之間在進行資料拷貝的過程時被窺視的機會,也因為隱藏檔案並沒有實際對資料內容做加密,只是將資料藏起來,所以當密碼忘記時,還是可以透過其他方式把資料給找出來。
因此,商業機密較不適合用在這一類隱藏軟體來進行保密,因為只要是有電腦基礎的人,都有可能找到方法來破解它,緊接著介紹如何找出隱藏的檔案路徑。
隱藏的檔案之追蹤
資料加密如一把雙面刃,它能夠有效預防機密資料外洩,但另一方面卻可能造成資安浩劫,因為實務上在電腦鑑識的過程中,面臨到最大的困難是來自於取證的分析,如果不法人士利用資料加密來對數位證據進行加密或隱藏,將會癱瘓鑑識分析的過程,導致關鍵證據流失。
然而,資料加密在攻防的角度上,普遍被當作防禦之用;但是近年來,卻時常發生資料加密的攻擊事件,從2013以來的Cryptolocker勒索軟體至今仍有新的變種,目前更結合多元的SaaS(軟體即服務)。
根據CSO報導,一個名為Fakben的駭客團隊在網路上提供勒索即服務,以50美元提供客戶下載Cryptolocker勒索軟體,再從客戶勒索的金額中抽10?30%權利金。
Cryptolocker勒索軟體最常用的就是利用社交工程手法,讓使用者誤點病毒或木馬的連結,導致被害者電腦或是智慧型手機中的所有重要資料被惡意地加密,若要解密,就只好得乖乖支付贖金。
因此,如何從資料加密或隱藏的電腦中找出關鍵的數位跡證,以及化解加密軟體所帶來的危機,鑑識人員與資安人員都責無旁貸。
假設電腦經過反鑑識之後,會有兩種情況:一是資料經檔案隱藏軟體隱藏,二為檔案經資料加密軟體加密。以下針對上述兩種狀況進行實驗操作,並找出隱藏的資料。
實驗1:資料經檔案隱藏軟體隱藏
以下透過實驗來對一些資料夾內的檔案進行檔案隱藏,並且比較該資料夾在隱藏之前與隱藏之後的容量大小。
將資料夾內的一個1.12MB的檔案透過Wise Folder Hider檔案隱藏軟體進行資料隱藏,觀察隱藏之前與之後的檔案容量變化,從圖9當中容量大小的變化可以得知,該隱藏的檔案已經被資料隱藏軟體轉移到其他路徑。
 |
| ▲圖9 比較檔案隱藏之前與之後的資料夾容量大小。 |
透過一些檔案路徑的檢視工具,即可發現消失的檔案蹤跡,這裡歸納出以下幾個鑑識步驟來找出被隱藏的檔案:
開啟系統輔助軟體或防毒軟體所提供的檔案檢視工具,如PowerTool、XueTr等。
然後,以PowerTool工具逐一掃描被隱藏的檔案名稱。
如圖10所示,找到指定的檔案目標後即可順利開啟。
 |
| ▲圖10 找到被隱藏的檔案文件並開啟它。 |