數位鑑識工具或有其侷限,加上智慧型犯罪手法通常也有滅證的成份在其中,鑑識人員在面對種種困難之時,仍須不畏艱難挑戰,不排除任何的可能性,掌握稍縱即逝的取證契機,唯有如此,才能順利地將所有參與犯行的不法之徒一網打盡。
話說軍方高層懷疑任職於某情報單位的S中校,已被對岸吸收且為其蒐集重要情資以獲取高額報酬。對S中校開始起疑是肇因於近年來該單位的部分計畫似已被對岸掌握,且巧合的是這些計畫S中校皆有參與其中,加上S中校妻子名下的帳戶陸續有大量金額匯入,令調查人員覺得十分可疑,因此將S中校列為重大懷疑對象之一。根據目前調查出的事證顯示,S中校涉嫌洩露軍機情節重大,因此決定收網以將相關涉案者一網打盡。
幹員們在登門之際,S中校並未立刻開門,約莫數分鐘之後才開門讓幹員入內,只見S中校從容不迫,似已做好準備接下來會發生的事。幹員們隨即表明來意並將其逮捕,連同處於開機狀態的筆電,手機等相關證物一併扣下帶回調查。
專案小組根據當時的現場狀況,研判S中校當時可能正在書房裡進行滅證。鑑識團隊便火速針對S中校所使用的筆電進行鑑識分析,令人感到訝異的是,筆電中除了一般的個人文件如讀書心得、日常開銷記錄之外,初步未發現所謂的機密情資。而在訊問過程中,S中校一派從容,矢口否認為對岸蒐集情資,始終堅稱自己是清白的,專案小組不敢大意,認為S中校是個心思縝密的智慧型罪犯,要格外小心應付才行。
找到一個執行檔但所有檔案已被刪除
當R一聽到在S中校的筆電未發現任何重要軍機時,便研判筆電裡應該還留存著滅證的相關跡證才是,便趕忙過來支援。果不其然,R在程式執行痕跡之中有了發現,這裡頭所記錄的資訊包含了運行過的執行檔名稱及其路徑,以及執行的頻繁程度等重要線索,據此便可查看當中是否有與案情相關的可疑執行檔,一個名為rm.exe的執行檔引起了R的注意,如圖1所示。
|
▲圖1 筆電內找到一個名為rm.exe的執行檔。 |
經檢視此檔案的內容屬性,其描述為「Secure file delete」,如圖2所示。R已猜到它本來的檔案名稱了,看來S中校的確在筆電裡動了些手腳。
|
▲圖2 rm.exe執行檔內容的描述為Secure file delete。 |
將該檔案匯出並於工作站上進行模擬測試,在DOS模式下執行得知其確為SDelete,如圖3所示,此即一款可以徹底刪除檔案的工具。
|
▲圖3 該檔案在DOS模式下執行得知其為SDelete。 |
R研判rm.exe即為S中校用以滅證的工具,即便筆電中確有發現可疑檔案的存取痕跡,也因檔案內容遭到抹除(Wipe),導致原有內容已被0值填充覆蓋,如圖4所示,便無法判斷該檔案是否與軍機有所關聯。
|
▲圖4 原有內容已被0值填充覆蓋。 |
機密檔案可能已上傳至百度網盤
R料定S中校在刪除機密檔案之前,必然早已經做好相關處理,才會放膽將其全數徹底刪除,不然的話,費盡千辛萬苦到手的軍機不就白白浪費。為了有效獲得更多線索,R便將證物映像檔進行活化(Bootup),以動態分析的方式來觀察S中校的筆電中還隱藏著什麼秘密。順利登入桌面後,一個畫面引起了R的注意,如圖5所示。
|
▲圖5 順利登入桌面後,出現百度網盤畫面。 |