數位鑑識不一定要依靠鑑識人員才能處理,只要使用一套簡易的數位鑑識軟體,一般人就能對自已的電腦進行數位鑑識工作,了解電腦到底發生何種狀況,自行取得資訊來解決問題,這就是所謂的Forensics By Yourself(FBY)。本篇文章將介紹容易上手的數位鑑識軟體「Helix」,並提供一個案例示範,當讀者或朋友遭受到資訊安全威脅的時候,可以透過Helix協助解決問題。
隨著時代演進,科技的進步,現今社會早已是一個資訊發達的世代,電腦與網路的快速發展和普及,讓生活更加便利,讓工作更加簡單。
然而,有心人士也利用電腦與網路普及的特性從事非法行為,例如製造施放電腦病毒、盜用資訊資源、駭客入侵、網路釣魚等等,這對社會大眾造成相當大的傷害。
此類型的犯罪不同以往的一般犯罪,其特性包括:犯罪行為不容易被發覺(受害者總是在不知情的情況下誤入犯罪者所設下的陷阱,例如觀看了隱含病毒的圖片導致中毒)、犯罪證據不易被採取並且極易被銷毀(記錄著犯罪行為的證據都是以數位的型態被儲存,只要犯罪者刪除甚至覆蓋後,證據就很難被取得)、犯罪事實與證據易招爭議且需要長時間偵察(網路或電腦犯罪的犯罪通常是持續不斷地進行,直到被發現才會終結,加上證據的處理如有不當,在法庭上就不具證明能力)、電腦犯罪多為智慧型犯罪(會利用電腦與網路犯罪的人在這方面具有一定程度的學識,所以知悉如何隱藏自己的犯罪事實不被發覺)。
也由於上述的特性,一般人常會不自覺地踏入攻擊者所設下的陷阱,而往往在個人資料、財產造成損害時才有可能驚覺。若攻擊者再高竿一點,被害者甚至全然不會發現整起犯罪事件。
反觀,倘若本身已具備基本的數位鑑識的觀念與能力,不僅能夠警惕自己不要隨意踏入他人所設下的陷阱,而且對於自身電腦與網路所發生的情況也可以有更加深入的認識,甚至還可以幫助身邊的朋友一同免於遭受威脅。
接下來,就為大家介紹數位鑑識的相關背景。
認識數位鑑識及相關程序
以下從數位鑑識、數位證據、數位鑑識程序等三方面來探討相關的資料背景。
數位鑑識
所謂的「數位鑑識」,是使用科學技術進行搜索和鑑定、找出關連性、運用各種技術將數位證據文件化,並找出與所需相關的數位證據。
或者,確認意圖進行破壞的未經授權行為,並從系統中找出這些不法行為的證據。換句話說,就是在所蒐集到的數位資料中找出關鍵性的證據,能夠證明犯罪事實的證據。
數位證據
這裡提到的證據與一般傳統的證據不同,通稱為「數位證據」。它是以數位的型態儲存或傳輸,是在法庭上作為證據用的數位電子資訊,其具有以下幾項特性:
1. 難以蒐集萃取與保存
若取得記憶體中的資料,因為證據都以數位的形式儲存,因此必須依賴相關軟硬體技術才能取得。至於保存的方式,也得利用數位儲存媒體來儲存,如隨身碟、硬碟、光碟等等。
以上這些儲存媒體只要受磁、受潮,甚至受到外力的破壞,就可能導致損壞而讓資料無法讀取。
2. 無法直接感知與理解
數位資料儲存的原始形式是0與1,試問0001010101010111110代表著什麼意思,隱含的內容又是什麼?很明顯地,這不是一般人光用肉眼就可以理解,必須藉由電子設備才可檢視。
3. 易於複製竄改與刪除
對於檔案資料的每一次存取,都可能會改變資料的狀態,以電腦檔案資料為例,任何人都可以很簡單地複製與刪除,對電腦系統稍有常識的人甚至懂得刪除資料只是切斷與其連結的路徑,其實該檔案還是儲存在硬碟內,要以別的檔案將其覆寫之後,才會完全從硬碟消失。
4. 難以證實來源與完整性
與一般犯罪不同的是,犯罪者與犯罪現場經常是分離的。例如,將病毒隱藏在圖片內並到網路上散布,只要在網路上瀏覽過該圖片之人的電腦就有可能遭受病毒入侵,所以可能的受害者遍及世界,只要能上網的人就有中毒的危險。
5. 難以建立連結關係
如同上述所說,犯罪者與犯罪現場分離,甚至有的犯罪者會利用遭受他入侵的使用者電腦來從事犯罪。
例如,犯罪者A入侵了無辜的受害者B的電腦,再對C、D、E的電腦從事犯罪行為,當C、D、E察覺時,經由調查與研究之後,會認為是B所犯下的,若不是再做更細膩的調查,B就可能成為無辜的替死鬼,而A就繼續逍遙法外。