Helix 數位鑑識

人人可以是偵探 數位鑑識自己來

數位鑑識不一定要依靠鑑識人員才能處理,只要使用一套簡易的數位鑑識軟體,一般人就能對自已的電腦進行數位鑑識工作,了解電腦到底發生何種狀況,自行取得資訊來解決問題,這就是所謂的Forensics By Yourself(FBY)。本篇文章將介紹容易上手的數位鑑識軟體「Helix」,並提供一個案例示範,當讀者或朋友遭受到資訊安全威脅的時候,可以透過Helix協助解決問題。
保存證據

這個時候事前所準備的Helix數位鑑識工具包就派上用場了。

首先,把整個鑑識作業需要使用到的資料都準備好以方便進行鑑識,並且為了證明沒有從中做手腳,於是對其電腦硬碟和隨身碟製作映像檔,在製作好映像檔之後,即可進行下一個階段的作業。

檢驗證據

利用工具包中關鍵字搜尋的功能,試圖在硬碟和隨身碟的映像檔內找尋是否有相關寵物照片名稱的檔案,遺憾的是並沒有找到,但懷疑檔案已經被刪除了,於是利用Helix工具包中AccessData FTK Image程式來觀看這些映像檔中被刪除的檔案。

果然,在隨身碟的映像檔中發現一個被刪除掉的資料夾,裡面存放著一堆的照片,再繼續點選觀看,確實是朋友寵物的照片(圖11),此時整個罪狀可以說快蓋棺論定了。


▲圖11 在隨身碟的映像檔中找到了被刪除掉的照片。

而再來的問題就是對方在什麼時候擅自使用了友人的電腦來存取這些照片呢?於是使用工具包中PC ON/OFF Time程式來了解她電腦使用的時間,發現2011年12月31日中午12點到下午3點這段時間(圖12中的框選)有著極不尋常的電腦使用紀錄。因為在跨年那天她人整天都在外參加跨年的活動,根本不可能使用到電腦,所以結果已經相當明顯了。


▲圖12 12月31日下午電腦是開機的。

案件分析與陳述

經由上一個階段取得的數位證據所給予的資訊,可以清楚地得知整件事情的來龍去脈:在12月31日年底的那一天,對方趁著朋友出外遊玩的時候,擅自使用她的電腦,並利用隨身碟帶走了存放在她電腦中那一些可愛的寵物照片,然而卻不慎在網路上面流傳出去,所以連忙將檔案刪除試圖掩蓋她不當的行為,以免被逮到證據。

呈現結果

天網恢恢,「鑑識」網難逃,整起事件乍看之下似乎無法證明對方的不當行為,但是恰好學習到數位鑑識的相關知識,讓我們現學現賣,也確實讓對方露出馬腳而不得不承認自己的行為,讓整個事件告一段落完美落幕。

結語

類似的例子其實經常發生在我們周遭。不見得每一個人都有著良好的資訊安全觀念,尤其近年來許多人的私密照頻頻外洩,這就是沒有做好適當的保護,在不經意之下讓有心人士得逞。

而重點是當本身得知之後,卻又無能為力,只能請求相關單位的協助。若是本身即具備著資訊安全和數位鑑識的基本概念,相較之下,就不至於輕易地成為受害者,甚至不單單能夠保護自己,還可以幫助身邊的友人。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!