數位鑑識 資料加密 檔案隱藏 資料外洩

破解檔案加密及隱藏手法 數位犯罪足跡無所遁形

本篇將介紹網路上常見的檔案加密與檔案隱藏工具,探討如何進行隱藏資料的追蹤,並透過偽造證件集團之情境案例來說明相關的數位鑑識調查過程,藉此有效地萃取證據。
透過進階的檔案檢視工具找到被隱藏的資料之後,就可以進行檔案的還原動作,由此可見,檔案隱藏軟體所提供的資料保密功能其實並不安全,甚至有些設計不良的檔案隱藏軟體,其加密隱藏後的檔案還能夠在解壓縮軟體rar的檔案目錄中被發現並開啟。

更糟的是,如果隱藏後的檔案所存在的磁區經過如格式化等的不當操作,可能會導致檔案資料遺失,造成資料使用上的不便。

實驗2:檔案經資料加密軟體加密

一般正統的加密軟體都會使用加密演算法機制對資料內容進行加密,所以在未取得金鑰的情況下進行暴力破解,難度相當高。

為了節省鑑識的時間成本,可以針對檔案加密軟體所提供的密碼檔來進行相關的破解程序,以取得所有檔案加密的金鑰,但是並非所有的加密軟體都具備密碼檔,若無密碼檔,就必須逐一地破解檔案加密金鑰。不過,通常密碼檔也會透過使用者輸入密碼經由加密軟體進行加密。

在本實驗流程中,以Sophos Free Encryption加密軟體為例,該加密軟體的密碼檔路徑為「C:\Users\Administrator\Documents\history.log」,開啟history.log檔案,如圖11所示,其內容為加密後的亂碼。


▲圖11 檢視加密後的密碼檔內容。

破解加密的密碼檔方式,可嘗試運用字典法攻擊法進行密碼破解,如果還是無法順利破解,則可以採用記憶體萃取方式嘗試從揮發性儲存空間(RAM)找出使用者輸入過的軟體登入密碼與檔案解鎖密碼,最後再採用暴力破解方式。

以下為檔案加密的鑑識步驟:


找出加密軟體密碼檔的檔案路徑。


以字典法攻擊法來破解密碼檔的解鎖密碼。


透過記憶體萃取技術(包含分頁檔),找出軟體登入密碼與檔案解鎖密碼。


嘗試各種可能的方法找出軟體漏洞。


使用暴力破解法。

本實驗中,在步驟1、2都找不到密碼的前提下,進行步驟3的記憶體鑑識。在萃取記憶體後,逐一地輸入關鍵字來搜尋記憶體內容。

先用password作為關鍵字進行搜尋,多次地篩選記憶體片段資訊,可以從密碼字串附近發現被加密的檔案名稱secre photo 20及secret photo 2.uti,因為secre photo 20建立的時間點較早,而secret photo 2.uti的副檔名是經檔案加密初始化的內容,兩者的密碼檔皆儲存於desktop,所以可推測secre photo 20所對應到的是加密軟體登入密碼,如圖12所示。


▲圖12 找到密碼檔的登入密碼。

最後,取得軟體登入密碼,即可找到所有的檔案解鎖密碼,如圖13所示。


▲圖13 登入密碼檔後找出所有檔案解鎖密碼。

在萃取記憶體過程中,為了取得更多關鍵的數位跡證,通常鑑識人員在進行記憶體跡證萃取時,會一併納入分頁檔。分頁檔中的資料是以記憶體的格式存放於硬碟中,所以分頁檔又稱為虛擬記憶體,當中存放系統較少使用的資料與紀錄。

以FTK Imager鑑識工具為例,萃取分頁檔操作畫面如圖14所示。在萃取完記憶體與分頁檔後,即可對記憶體的內容進行分析取證。


▲圖14 進行分頁檔的萃取。

記憶體鑑識適合用來調查網路犯罪以及經反鑑識後的證據來源,在記憶體跡證的萃取過程中,需要考量記憶體內資料的時效性

如果只單純萃取實體記憶體部分,有很高的機率無法找到相關的檔案加密密碼,因為數位證據在記憶體中存放的是動態且具備即時性、關鍵性的資料,例如網路上的帳號密碼、對話訊息及網卡資訊。

而記憶體中的部分靜態資料會隨著時間而釋放,並轉存於硬碟的分頁檔中,當程序執行時需要該資料時,才會再次載入記憶體使用,所以當記憶體進行釋放之後,在記憶體中可能會找不到一些關鍵的數位證據。

但是,記憶體跡證取證難度較高,因為它具有揮發性質,所以必須在電腦開機的情況下進行取證作業,而且記憶體容易隨著時間進行釋放,因此記憶體取證並不是唯一的考量,在面臨資料加密的情況時,還是必須考慮其他方式找出檔案加密的私密金鑰。

實例演練

根據接獲的線報指出,網路論壇的討論版有疑似販賣假證件之情形,經調查人員長期的蒐證,鎖定嫌犯為T科技公司上班的A君,透過電話通聯分析合理懷疑幕後有龐大的偽造證件集團在支持運作。

因此,專案人員決定將線索鎖定在A君的帳冊與電腦主機上,且必須在攻其不備的前提下取得相關證物,不讓嫌犯有滅證的機會。調查人員經由多日的監控之後,於A君熟睡時,在其住處進行逮捕。

調查人員於現場查扣電腦主機、隨身碟、列表機、護貝機、偽造身分證成品及半成品等犯罪證物,但卻遲遲找不到帳冊,初步懷疑帳冊可能存放於電腦或是隨身碟中。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!