記憶體 手機 證據 鑑識

犯罪現場電腦別關機 從記憶體鑑識手機洩密

智慧型手機在資料傳遞上具有多種的選擇性,但這樣的特性卻被不法人士用來竊取資料,並對其竊取行為進行反鑑識操作,進而增加鑑識工作上的困難。為此,本篇將利用記憶體跡證進行分析,找出經反鑑識後的相關數位跡證,得以還原事件真實狀況。
手機App於資料竊取工具用途之發展趨勢

無論智慧型手機或平板,其作業系統平台提供豐富的開放原始碼套件以及API開發介面,在資源充裕的App軟體市場競爭條件之下,許多廠商紛紛轉往投資需求獨特的利基市場,呈現手機App市場的長尾理論,如圖3所示。廠商投資大量且較冷門的客製化軟體,使其獲利超過主要的熱門軟體;而值得關注的是,當廠商開發出一套針對少數特定需求的軟體時,其軟體單價具有價格的壟斷性,相較於傳統市場,客製化軟體之總利潤將遠超過主要熱門產品的總收益。


▲圖3 手機App市場的長尾模式。

然而,這樣的環境雖使得App市場蓬勃發展,卻也有不法開發商針對不當用途開發出惡意軟體,例如智慧型手機中的惡意軟體可能會修改USB裝置介面,進而達到偽裝目的。

根據德國柏林安全研究實驗室的研究人員發現,透過USB介面能夠在使用者主機內植入惡意軟體,該研究人員將一台智慧型手機連接至電腦進行充電,讓惡意程式執行後,成功地讓電腦將手機誤認為是網路卡介面,以竊取使用者主機所有的網路資訊。另外,智慧型手機通常搭配行動網路,在訊號足夠情況下能夠不受地理空間限制與外部網路連結,使得機密資料更容易外流。

傳統隨身碟與智慧型手機的差異

USB裝置在功能上可區分為傳輸媒介與儲存媒介,由於USB儲存設備本身體積小且易於藏匿的性質,可輕易取代光碟片與軟碟片,甚至能作為嵌入式裝置的作業系統硬碟,所以在資安的層面上,較著重在資料儲存的特性上。

以往的資料竊取模式採用傳統隨身碟作為儲存工具,大部分USB隨身碟僅針對資料儲存功能做嵌入式系統設計,在使用上非常方便且無需額外準備傳輸線,目前仍受大多數員工喜愛。

另一方面,企業對於USB隨身碟的資安政策具有多種防制措施,例如修改電腦設備的USB儲存裝置登錄檔,設定登錄檔鍵值執行相關權限,以及當使用者插入隨身碟時,只能進行權限內的操作如讀寫、修改、刪除及關閉,或是透過程式的執行來限制USB儲存裝置的相關操作。

智慧型手機的興起,使得許多程式的開發應用紛紛轉往手機平台,越來越多的開放原始碼套件支援應用程式的開發與作業系統的改寫,若一個惡意軟體能將智慧型手機的USB裝置介面資訊進行改寫,在連接電腦設備時,使其判讀為其他的USB裝置,如PS/2鍵盤或無線網卡等,就能夠避開USB儲存裝置的登錄檔之控制權限。

因此,智慧型手機用於資料竊取工具時具備相當大的韌性,具有主動攻擊、偽裝及提供無線上網熱點等性質。以下將資料竊取採用傳統USB隨身碟與智慧型手機兩項工具做比較,彙整如表1。

表1 傳統USB隨身碟與智慧型手機兩項工具之比較

智慧型手機的竊取資料已成為企業不得不面對的資安議題,另外USB隨身碟因為體積小、成本低且不需透過傳輸線,未來可能被利用設計為嵌入式行動裝置,如一台智慧型手機,只是少了GUI介面、音效等不必要的功能,在資料竊取的用途領域仍不容忽視。

對於電腦鑑識人員來說,實務上面臨的困難在於無法有效取得在電腦上已被抹除的重要數位證據。因此,鑑識人員對於多元化的反鑑識工具必須更加有效地掌握,並嘗試找出那些裝置未經反鑑識,以及找出經反鑑識後留下的殘留跡證,以供後續能夠進行鑑識分析流程。

資料竊取之反鑑識行為

了解智慧型手機可能作為資料竊取的用途之後,接下來探討資料竊取可能附帶進行的反鑑識行為,如刪除、修改日誌等。反鑑識通常被犯罪者用在銷毀證據、干擾證據及阻礙證據取得的手段上,其中銷毀證據又為犯罪者最常用的手段之一。

對非法者來說,為了讓犯罪足跡不被發現,最常用的手法就是對資料進行抹除,或是對資料做竄改,使得原始資料被覆蓋,降低鑑識還原的可能性。接著,介紹當非法者利用智慧型手機在電腦端進行資料竊取時,可能於電腦端進行的反鑑識行為。

竄改登錄檔

一般而言,智慧型手機在連接電腦時,會在電腦內的登錄檔與日誌檔留下智慧型手機的USB裝置資訊。為銷抹跡證,非法者會利用電腦內的反鑑識軟體,或是手動將登錄檔、日誌檔做竄改或抹除,兩者反鑑識效果相同。這裡使用一台三星(Samsung)智慧型手機來作為實驗工具,以手動竄改登錄檔方式說明反鑑識的過程:

一般而言,使用者若要啟動作業系統的「登錄檔編輯器」,會藉由「附屬應用程式(Accessories)」點選「執行(Run)」並輸入「regedit」來開啟。在取得登錄檔鍵值的管理權限後,找到「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBSTOR」位置進行手機裝置資訊的竄改,步驟如下:


比對「USBSTOR」子目錄下的供應商名稱、產品名稱及產品改版代號,找到目標Samsung裝置的相關資訊。


找到目標的登錄檔目錄後,將裝置資訊等屬性進行編輯或刪除。


在登錄檔「\Enum\USB」目錄下重複進行前兩項步驟,以完成竄改後資料的同步。

「Enum\USB」目錄內包含連結所有USB裝置目錄的相關資訊,而「\Enum\USBSTOR」目錄內則只有連結USB儲存裝置目錄,所以在「Enum\USB」目錄下也會有一份儲存裝置目錄。因此,在上述兩個目錄下都要一併做刪除,以達成同步,登錄檔目錄屬性經竄改與刪除後的資訊如圖4所示。


▲圖4 經更改與刪除後的手機儲存裝置資訊。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!