智慧型手機在資料傳遞上具有多種的選擇性,但這樣的特性卻被不法人士用來竊取資料,並對其竊取行為進行反鑑識操作,進而增加鑑識工作上的困難。為此,本篇將利用記憶體跡證進行分析,找出經反鑑識後的相關數位跡證,得以還原事件真實狀況。
利用相關工具對所採集到的記憶體映像檔搜尋記憶體內容,如使用WinHex開啟Memory檔,如圖10所示。
|
▲圖10 從WinHex中開啟Memory檔。 |
最後利用關鍵字搜尋找出相關數位跡證。
接下來,將經由反鑑識後的電腦主機做記憶體取證,並針對資料竊取的模式,進行關鍵字搜尋,相關操作步驟如下:
在記憶體中找出智慧型手機裝置資訊。
進行記憶體分析過程中發現,同一個智慧型手機裝置資訊會有多筆紀錄。擷取其中一筆紀錄如圖11所示,該紀錄與登錄檔路徑「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\USBSTOR\DISK&VEN_SAMSUNG&PROD_FILE-STOR_GADGET&REV_0001」資訊是相同的。
|
▲圖11 記憶體中找到智慧型手機裝置資訊。 |
在記憶體中找出曾經連上之無線AP的SSID名稱。
在Windows 7的登錄檔「HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4D36E972-E325-11CE-BFC1-08002BE10318}」目錄內可以找到主機的無線網卡裝置目錄,而該網卡目錄內的NetCfgInstanceId屬性則記錄了網卡序號。雖然登錄檔中沒有辦法找到曾經連上過的無線AP的SSID名稱,不過仍可從記憶體內找到相關線索。
根據記憶體中的資料內容,可發現無線AP的SSID名稱在記憶體內的排序模式。當中每一個SSID名稱下方會接一串固定的亂碼格式,研判該亂碼是Wi-Fi經加密後的固定訊息。
另外,在記憶體內找到的SSID下方發現主機連上無線AP所使用的無線網卡序號,如圖12所示。
|
▲圖12 從記憶體中找到無線AP的SSID名稱。 |
接著,比對登錄檔內NetCfgInstanceId的屬性,就可以識別出是哪一台主機利用哪一張網卡連結上無線AP。
透過實驗發現,在「0011」的子目錄下之NetCfgInstanceId屬性值與記憶體中找到的網卡序號是匹配的,因此,可以推論記憶體當中所找到的無線AP之SSID名稱就是由該主機所連線的,如圖13所示。
|
▲圖13 登錄檔的NetCfgInstanceId值與記憶體網卡資訊相同。 |
在記憶體中找到被竊取檔案所對應的磁碟機編號。
為確認系統指派給智慧型手機的磁碟編號,因此新增一份Secretforandroid.txt檔案,並從電腦主機將之拷貝到智慧型手機內,接著進行記憶體取證,透過關鍵字對Secretforandroid.txt進行搜尋,如圖14所示。
|
▲圖14 在記憶體中找到檔案竊取的磁碟機編號。 |
在記憶體中可找到該檔案上傳雲端硬碟的E-mail帳號。
當非法者在電腦主機透過手機的無線AP連上網際網路後,若將機密檔案上傳至Google雲端硬碟,在記憶體傾印方法中,輸入該雲端登錄頁面的部分網址內容進行關鍵字分析,即可找出雲端硬碟的E-mail帳號,如圖15所示。
|
▲圖15 在記憶體中找到雲端登入的E-mail帳號。 |
案例分析與鑑識
A公司與B公司互為同質競爭的關係,一日A公司研發部門發生機密資料外流事件,又因為A公司前任離職員工阿貴目前跳槽至B公司,經過調查之後合理懷疑阿貴有涉嫌疑慮,並研判有內神通外鬼的情形。
因此,A公司主管將線索鎖定在公司內部員工,並利用社群網路分析調查,發現阿貴與小莉互動頻繁,因兩人在A公司任職時互為同事,在鎖定嫌犯小莉之後,配合調查人員掌握現場監視器及嫌犯進出檔案室時間點,在小莉進行下一波資料竊取行動時,於現場進行逮捕。
經由現場鑑識人員勘驗,該公司檔案室並未開放對外網路,但電腦主機有提供USB插槽,且嫌犯在被逮捕時,手持智慧型手機正準備從檔案室離開,研判嫌犯可能利用智慧型手機介接電腦進行資料竊取行為。
因現場電腦為開機狀態,所以鑑識人員在合法的鑑識程序下,對電腦主機進行登錄檔鑑識,試圖找出智慧型手機的登錄檔資訊,但卻無相關跡證。
為此,鑑識人員進一步判斷電腦設備與智慧型手機可能已遭受反鑑識操作,於是對電腦進行鑑識記憶體取證分析,透過下列步驟找出電腦與智慧型手機之相關跡證:
鑑識人員對電腦進行FTK Imager記憶體萃取,並且利用WinHex來搜尋記憶體的內容。
利用登錄檔關鍵字分析,萃取出曾經透過USB連接該電腦的智慧型手機USB登錄檔相關資訊,如圖16所示。
|
▲圖16 從記憶體內找到智慧型手機的USB登錄檔相關資訊。 |