本篇將探討反鑑識的工具與使用手法,並歸納出對於反鑑識技術的鑑識萃取工具與方法,並透過一個有關Facebook社群網站之情境案例來說明相關數位證據調查,提供鑑識調查人員在遇到反鑑識手法的犯罪行為時,可用來執行鑑識調查方式的參考。
另外,發現桌面上IE瀏覽器開啟為隱私瀏覽模式,所以鑑識人員朝向網頁瀏覽器的方向進行數位跡證的採集,研判數位跡證可能儲存於記憶體內,因此鑑識人員透過下列步驟進行記憶體的數位取證:
步驟1:鑑識人員對電腦進行FTK Imager記憶體萃取。
步驟2:利用WinHex搜尋記憶體內容。
步驟3:進行關鍵字搜尋,發現犯嫌所使用的Facebook網站登入帳號與密碼,如圖12所示,另外也找到犯嫌曾經搜尋或追蹤過的使用者,如圖13?圖14所示。
|
圖12 在記憶體內找到的Facebook帳號及密碼。 |
|
▲圖13 查出犯罪者在Facebook搜尋哪些人。 |
|
▲圖14 在記憶體內找到犯罪者在Facebook中追蹤過的人。 |
根據前面發現的Facebook帳號及密碼執行登入以後,針對與嫌疑人小安較常追蹤關注之可疑使用者tony進行鎖定清查,發現兩人的訊息對話紀錄,從對話紀錄當中得知嫌犯與tony的犯罪跡證,如圖15所示。
|
▲圖15 Facebook訊息的犯罪跡證。 |
在本案例的反鑑識數位鑑識流程之中,由於嫌犯於電腦內裝有資料抹除工具,所以鑑識人員必須採取即時的記憶體採證來因應反鑑識技術的手法,案經使用FTK Imager進行記憶體傾印,再透過WinHex對記憶體內容進行關鍵字搜尋,即可找出關鍵的犯罪跡證。
結語
反鑑識的犯罪手法不斷地推陳出新,為惡者常常會利用網路上取得的反鑑識工具來節省犯罪所需的成本。雖然網頁隱私瀏覽與資料抹除工具帶給用戶適當的隱私性,但是相對地也帶給鑑識人員極大的挑戰。
本文藉由分析常見的反鑑識工具,透過情境案例清楚地瞭解在遭受到資料抹除工具刪除的情況之下,鑑識人員所應採取的方法,提供鑑識人員在面臨反鑑識狀況時,能夠即時保存現場的數位證據,避免關鍵證據因不慎而流失。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>