電腦與智慧裝置的普及,使得數位犯罪持續攀升,迫使人們重新思考電腦鑑識的其他出路,從而將焦點移轉到揮發性資料,開始挖掘記憶體內的豐富證據。本文透過FTK Imager工具儲存揮發性記憶體內的資料,然後使用WinHex顯示所儲存的資料,完成蒐集使用者的帳密資訊。
FTK Imager易於使用,可用於創建逐一位元的映像檔,甚至包括尚未分配的空間和殘餘空間,其可用於即時的記憶體內容萃取,萃取完成會創建案例日誌文件,並且支援快速搜尋,而記憶體傾印之結果是以「.mem」的副檔名儲存,因此可使用工具WinHex進行後續的分析。
記憶體傾印內容分析
在完成記憶體的映像檔萃取後,接著將是記憶體映像檔的內容分析,此階段的證據分析同樣必須小心翼翼地完成,可使用的分析工具則有WinHex。
WinHex不但可以用來檢查與修復文件,也能顯示被隱藏的資料,有助於鑑識人員進行數據的剖析,可於X-Ways Software Technology AG官方網站免費下載安裝,然後分析從FTK Imager萃取出暫存於記憶體中的資訊。
證據復原
有時攻擊者會刪除某些敏感性資訊,或者來自系統的映像檔,以隱匿其蹤跡,但這類的訊息刪除可以透過FTK Imager復原。雖然這是一個很繁瑣的工作,但卻也可能從中找到有助於證明攻擊者確實有不法行為的關鍵跡證。
記憶體映像檔分析是困難而耗時的任務,每款鑑識工具都無法百分之百保證結果的產出,所以調查人員必須應用智慧和經驗以查找證據,這些正是工具軟體所無法提供的。同時,這也意謂著記憶體鑑識的另一項困境,受限於單一工具無法提供充分的證據結果,調查過程中必須使用多項工具相互配合。這麼一來,除了必須消耗大量的時間外,在敏感性資訊的萃取及復原上還會導致不必要的損失,因為這些證據並非長久停駐在記憶體中,重要證據可能因而遺失。
記憶體資料內容搜尋
實體記憶體的分析與檢驗,對於使用者帳號和密碼的發現是很重要的,一旦發現網站儲存帳號和密碼的規則,鑑識調查人員就可以擴展其搜索範圍,於實體記憶體蒐集源自其他網站的有用訊息,透過網路帳號與各網頁地址的鏈結,可以連結網路犯罪行為與嫌疑人的關係。
於實體記憶體的資料內容萃取,有研究者曾倡議實體記憶體的內容切割,並建議調查人員使用諸如「strings.exe」或「grep searches」等命令類工具搜尋感興趣的字串,然而,這意謂調查人員將需要更多時間從大量文件進行搜索的工作。因此,另有研究者開始將搜尋重點專注在網路帳號的搜索,使用軟體WinHex的搜尋選項存取原始文件,他們發現網路帳號是可以萃取的,即便使用者沒有成功登入或者使用私人瀏覽模式登入。
此外,亦有研究者所研究的技術為記憶體中的密碼搜尋,他們利用Python函數尋找Chrome瀏覽器的Gmail密碼,透過程序識別符號(PID)和搜尋標準(&Email和&Passwd)進行密碼的查詢,雖然Gmail的帳號和密碼是以明文的形式儲存,但仍須提供搜索標準以查詢使用者帳戶名稱及其密碼。
另外,也有一些研究者研究搜索標準,探索主流網站如何將使用者帳號密碼相互匹配,根據搜索標準可將這些網站分為兩大類。
第一類由具備獨特搜索標準的網站所組成,諸如Amazon、Twitter、Linkedin、Tumblr、eBay等,第二類的網站則共享某些類似的搜索標準。
為了更準確地區分它們彼此間的差異,必須透過Session組件的順序和服務屬性做進一步的識別,因此又可細分為兩小類。第一小類由Facebook、Pinterest、Instagram和Evernote所組成,可藉由Session組件的順序做進一步的劃分。第二小類主要由Google家族所構成,包括Blogger、Gmail、Google+、Play store、YouTube等服務網站,須以服務屬性(&continue和&service)做後續的辨認。
記憶體資料的相關萃取
隨著記憶體相關工具的開發,以及鑑識領域的調查重心移轉,逐漸能夠在記憶體內發現豐富的證據資訊,這些內容訊息以明文的型態存放於記憶體內,而不須進一步的解密作業,然其資訊內容摻雜著沒有意義的十六位元亂碼,這讓搜尋標準無法使用,為了讓網路操作痕跡有所對應,使用者帳號和密碼顯得異形重要,於是透過下列步驟(圖1)來蒐集使用者帳戶的相關訊息。
|
▲圖1 記憶體資料萃取分析流程圖。 |
記憶體映像檔製作
在琳琅滿目的記憶體萃取工具中,這裡選擇操作簡易、執行快速的FTK Imager來對記憶體進行萃取。首先,點選FTK Imager主程式【File】選單內的【Capture Memory】選項。點擊後,輸入所存放的位置即可,如圖2所示,就有一個「.mem」的副檔名儲存在所輸入的位置。
|
▲圖2 指定存放的位置。 |