Timestamp 即時訊息 LINE 時間戳記 行動 鑑識

打臉歹徒反鑑識技倆 識破竄改時間戳記花招

2016-02-05
本文將講述某個數位鑑識的案例,當面對一椿可疑的毒品走私案及一連串莫名難解的密文時,倘若所有昂貴的破密設備與軟體均派不用場,鑑識人員該如何抽絲剝繭才能成功破解歹徒的犯罪手法。
另外,這些可疑的Word檔除了內容古怪外,其時間戳記(Timestamp)也啟人疑竇,不僅Creation Time、Last Access Time、Last Written Time三個時間戳記都是2010年之前的時間,甚至連Entry Modified Time亦是如此,如圖5所示。


▲圖5 部分有著怪異內容的Word檔,而且MACE四個時間戳記完全一致。

為何說這種情形古怪呢?通常能夠竄改檔案時間戳記的軟體,僅能改動MAC三個時間戳記,而無法改動到Entry Modified Time。

因此,即便犯嫌以軟體竄改檔案的MAC三個時間戳記,仍能由Entry Modified Time察覺異狀。

倘若MACE四個時間戳記都是2010年之前的時間,就表示這些檔案在2010年之後皆未被「動」過,那豈不意謂著這些檔案與目前的案情並無關聯。

但若是如此,便無法解釋為何郵件的時間戳記是2015年12月,而有著相同內容之檔案的MACE四個時間戳記卻都是2010年之前的日期時間。面對這一連串古怪的現象,鑑識人員不敢大意,立刻向長官呈報此一新發現。

找來各領域專家研究如何破密

在專案會議上,長官鐵青著臉要求鑑識人員針對這些有著可疑內容的檔案,立即查明為何MACE四個時間戳記都是2010年之前的日期時間,以及它們與案情究竟有無關聯。

鑑識人員遵照長官指示聯繫其他單位要求協助,包括調查局及軍方,還找來了語言學專家、科學家、數學家等等國內外各領域專家,共同研究如何解密那些有著怪異內容的郵件及檔案。

各方專家用上所有設備工具及各種演算法進行分析,埋頭苦思數日皆無所獲,僅能整理出特定字串重複出現的頻繁程度及比例,但對內容仍一無所悉,毫無頭緒。

語言學專家表示從未見過這種文字組合,推論可能是中古世紀流傳下來的一種用於秘密通訊的語言。FBI的鑑識專家則建議,留意一下是否能夠在證物映像檔內找到密文譯本,若能找到,也許就能夠對照密文譯本還原文件內容,當然密文譯本也可能以紙本的形式存在。

鑑識人員幾乎已經把整個證物映像檔的每一個角落,也包括阿森的住處全都翻遍了,但沒找到密文譯本的電子檔、紙本或是任何與那些怪異內容相關的跡證。

此時,決定先把焦點轉向那些MACE四個時間戳記十分可疑的Word檔身上,若能得知造成此現象的原因及手法,也許便能有所突破。

還原竄改檔案時間戳記的手法

鑑識人員R冷靜思考也許阿森的電腦中有竄改檔案時間戳記的軟體或執行檔,R便將證物映像檔活化(Bootup),之後產生一份快照(Snapshot)再以VM軟體開啟。

由於程式執行時會在Prefetch資料夾內產生副檔名為.pf的檔案,此為程式執行的重要跡證,R很快地就鎖定了一個名為「PUZZLE.EXE-877A3B07.pf」的可疑檔案,如圖6所示。


▲圖6 找到PUZZLE.EXE-877A3B07.pf。

接著,檢視證物映像檔內現有所有安裝的軟體,並無可疑之處。再搜尋有無名為「puzzle」的執行檔,果然在C槽內一個名為「puzzle」的資料夾 中找到了名稱叫「puzzle.exe」的執行檔,如圖7所示。


▲圖7 檢視PUZZLE.EXE檔案資訊。

鑑識人員R將其點擊執行後,螢幕上只出現一閃而過的DOS畫面。沒錯,這是個只能在DOS環境下執行的程式。R很清楚這類在DOS環境執行的程式,會在Windows中產生名為CMD.EXE的prefetch,除此之外,同時也會產生與該執行檔同名的.pf檔。

R立即開啟「命令提示字元」,在該路徑下執行puzzle.exe,赫然出現提示訊息及參數說明(圖8),R不禁倒吸了一口氣,覺得就是它沒錯,一個可以用來更改MACE四個時間戳記的反鑑識利器「timestomp」。


▲圖8 發現一個Timestomp程式。

至於何以它的檔案名稱是puzzle.exe,研判阿森是將「timestomp.exe」的檔案名稱更改為「puzzle.exe」,以便於混淆與掩人耳目。

MFT表中有兩組時間戳記屬性

至此已掌握阿森的確有使用timestomp.exe的跡證,但仍需進一步檢視那些可疑Word檔的時間戳記,以查明其是否確為2010年之前才有存取行為的檔案,還是人為刻意竄改檔案的MACE四個時間戳記所致。

鑑識人員R將證物映像檔內的MFT表匯出,再以Mft2Csv工具將該MFT表裡的所有紀錄導出成文字檔,並查看那些可疑Word檔的時間戳記,而有了重大發現。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!