數位鑑識不一定要依靠鑑識人員才能處理,只要使用一套簡易的數位鑑識軟體,一般人就能對自已的電腦進行數位鑑識工作,了解電腦到底發生何種狀況,自行取得資訊來解決問題,這就是所謂的Forensics By Yourself(FBY)。本篇文章將介紹容易上手的數位鑑識軟體「Helix」,並提供一個案例示範,當讀者或朋友遭受到資訊安全威脅的時候,可以透過Helix協助解決問題。
數位鑑識程序
如圖1所示,這是數位鑑識的「標準作業程序」(Standard Operating Procedure,SOP),以下詳細說明其各項的主要內容。
|
▲圖1 數位鑑識程序。 |
事件辨別
事件辨別主要是收集情報與分析案情,先了解案情大致發生的經過,並造成什麼損害,以及接下來會遇到什麼問題與挑戰、能有哪些因應之道、可以做什麼準備。
保存證據
在現場最主要就是保存證據,這是相當重要的步驟,證據是決定一個人是否犯罪的根據,而且前述提到數位證據很容易遭到破壞,以及隨時可能因為不經意的更動而導致內容改變,使得證據失去證據能力,所以必須妥善保存所蒐集到的證據。
檢驗證據
在現場蒐集完證據之後,緊接著就是重頭戲了,也就是對它們進行鑑識的動作。這時候藉助一些鑑識軟體,就可以從中得知記憶體的內容、使用者到過哪些網站,甚至是使用者曾經做過哪些事情等等。
案件分析與陳述
做完數位鑑識之後,開始分析相關內容,嘗試將分析的結果、內容與嫌犯做連結,慢慢推敲出嫌犯的行為,尋找嫌犯、犯罪現場與受害者的關連。
呈現結果
最後是提出報告,清楚地交代每一個步驟的作為、證據的來源、用了什麼鑑識工具、得到了哪些資料,合理地解釋其與嫌犯及受害者的關係,以供法庭做判決時的判斷依據。
看完上述有關數位鑑識的相關介紹後,需要一套能夠幫助自身從事數位鑑識作業的軟體,而且它必須是簡易使用、功能豐富、輕易上手的軟體,當然,最好還能夠免費,在此推薦一套具有上述功能與條件的數位鑑識工具包Helix。
登錄安裝Helix程式
Helix是由e-fence公司所整合的一套數位鑑識工具包,內含許多數位鑑識的相關應用程式,並支援上述數位鑑識程序中所提及的步驟,可以在UNIX與Windows系統執行,還擁有Live CD的模式(電腦可直接透過此光碟開機,所以不會掛載至硬碟,不會更動到Swap Space),如此就可以在不更動到電腦資料的情況下進行數位鑑識。
首先,進入e-fence的網站,點選「STORE」選項連結,如圖2所示。
|
▲圖2 點選「STORE」選項檢視有哪些產品。 |
接著便可以看到該網站所提供的產品,由於這次的目標是Helix,於是點選「Helix3 Download」連結(圖3)。
|
▲圖3 點選「Helix3 Download」。 |
在新畫面中可以看到一個令人欣喜的數字$0.00,代表這個軟體免費。按下〔ADD TO BASKET〕按鈕,將其加入購物車(圖4)。
|
▲圖4 將Helix產品放入購物車。 |
此時,Helix產品已經被放入購物車了,於是點選右上方的購物車準備取得產品(圖5)。
|
▲圖5 產品已經放置在購物車中。 |
接著,按下畫面右下角的〔CHECKOUT〕按鈕,如圖6所示。
|
▲圖6 按下〔CHECKOUT〕按鈕。 |
這時候會要求登入會員,所以按下〔CONTINUE TO CHECKOUT〕按鈕申請成為會員,然後依序填入對方所要求的資料,之後就可以成為他們的會員了(圖7)。
|
▲圖7 按下〔CONTINUE TO CHECKOUT〕按鈕申請成為會員。 |