如果罪犯在犯行即將曝光之前,就將所有的檔案徹底刪除並且完全無法救回,那鑑識人員該如何與其鬥法?這時候Windows內建的系統保護機制Volume Shadow Copy就可以幫上忙,以下就娓娓道來整個鑑識的詳細過程。
首先鎖定C槽進行分析,它的起始Sector為206,848,一個Sector為512 bytes,因此需將此值乘上512,才是掛載證物映像檔時所需指定的偏移量,得出的偏移量值為105,906,176。因此,可以利用vshadowinfo指令搭配偏移量值來檢視C槽中的Volume Shadow Copy相關資訊,如圖17所示,完整指令為「sudo vshadowinfo -o 105906176 rick.dd | more」。
|
▲圖17 執行vshadowinfo指令。 |
執行結果則如圖18所示,共有8個Volume Shadow Copy存在於C槽之中。包括建立時間、Shadow copy set ID等屬性值,此項發現令分析人員興奮不已,因為當中必定包含許多重要的線索。
|
▲圖18 由vshadowinfo查得相關資訊。 |
在掛載之前,須先為其建立掛載點「/mnt/vss」,如圖19所示執行「sudo mkdir /mnt/vss」指令。
|
▲圖19 建立掛載點。 |
接著,便可以vshadownmount指令掛載C槽下的所有Volume Shadow Copy,如圖20所示。
|
▲ 圖20 以指令vshadownmount掛載C槽下所有的Volume Shadow Copy。 |
執行指令「ls -alh /mnt/vss」後便可得知已順利掛載8個Volume Shadow Copy,由vss1至vss8(圖21)。
|
▲圖21 檢視後發現其內共有8個Volume Shadow Copy。 |
但尚須再以mount指令進行vss1至vss8的逐一掛載,方能順利檢視其內容,因此分析人員先由vss8開始進行掛載,先為vss8建立一個專屬掛載點「/mnt/c-vss-8」(圖22),再以mount指令掛載vss8至方才所建立的掛載點「/mnt/c-vss-8」(圖23),接下來便可直接進入到掛載點中查看。
|
▲圖22 為vss8建立一個專屬掛載點。 |
|
▲圖23 掛載vss8。 |
然後,如圖24所示透過「ls -alh」指令查看「/mnt-c-vss-8」,可以看到裡頭包含的資料夾與檔案,再逐一往下查看,發現裡頭有一個可疑的資料夾workload,如圖25所示。
|
▲圖24 查看vss8內資料夾與檔案。 |
|
▲圖25 發現vss8內有一個可疑資料夾workload。 |
此名為「workload」的資料夾在扣得證物主機當下,未發現其存在於C槽內,研判「workload」資料夾在調查幹員抵達K少校住處前已遭刪除。幸而在vss8中現形,表示「workload」資料夾在此還原點的建立時間前的確存在於C槽。分析人員發現其內有可疑程式與數據庫檔案,便以xmount指令產生快照後,開啟該證物映像檔虛擬機進行動態分析。
將在vss8中所發現的「workload」資料夾複製到C槽下,運行可疑程式,執行結果如圖26?圖27所示,此為K少校所自行開發的一套資料庫管理系統「Work Load Reporting System」,記錄內容確為K少校擔任軍火掮客而收取回扣的相關交易紀錄,包括案件編號、聯繫人、軍火項目、交易日期等等相關資訊。
|
▲圖26 Workload程式執行結果1。 |
|
▲圖27 Workload程式執行結果2。 |
找出關鍵檔案作為呈堂證供
也許有人會感到好奇問道:「那在D槽的Volume Shadow Copy中有何發現呢?」當然有,在D槽中有個名為「lion系統效能評估報告.xlsx」的檔案,經分析人員抽絲剝繭,比對D槽所有Volume Shadow Copy中的相關檔案,發現該評估報告檔案的內容有造假的嫌疑,該檔案確實可在Volume Shadow Copy中找到,而且內容顯示效能評估結果似乎不太理想。
但存放在K少校D槽中的檔案「lion系統效能評估報告.xlsx」之評估內容似有美化數據的情形(圖28),經比對發現其內容根本是自另一套類似系統的評估報告複製而來。據此可研判,K少校假造評估報告內容以影響軍火採購案評估結果,有圖利特定廠商之嫌。
|
▲圖28 「lion系統效能評估報告.xlsx」檔案內容。 |
結語
至此案情已真相大白,K少校本以為與犯罪事實相關的重要資料夾與檔案,不但已在憲調組幹員抵達前全數刪除,甚至還進行了徹底抹除;加上即便留存在電腦中的檔案有篡改造假也難以察覺,料想調查人員絕無可能發現任何蛛絲馬跡才是。
沒想到Windows內建的系統保護機制Volume Shadow Copy讓K少校的犯罪跡證現形,這大概也是聰明反被聰明誤的K少校所始料未及的,同時也說明了「法網恢恢,疏而不漏」及「魔高一尺,道高一丈」的不變真理。
<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>