Timestamp 即時訊息 LINE 時間戳記 行動 鑑識

打臉歹徒反鑑識技倆 識破竄改時間戳記花招

2016-02-05
本文將講述某個數位鑑識的案例,當面對一椿可疑的毒品走私案及一連串莫名難解的密文時,倘若所有昂貴的破密設備與軟體均派不用場,鑑識人員該如何抽絲剝繭才能成功破解歹徒的犯罪手法。
R留意到其中一個有著怪異密文內容的Word檔,其檔名為「apache-cronlog-howto.doc」,其檔案內容如圖9所示。


▲圖9 檢視某個怪異Word檔案的內容。

儘管它的MACE四個時間戳記均已變得一模一樣,但其實被改動到的這組時間戳記是所謂的Standard Info(圖10)。


▲圖10 Standard Info的時間戳記已被timestomp改動。

而另一組時間戳記Filename Info卻道破了當中玄機,如圖11所示。


圖11 Filename Info的時間戳記未能被timestomp改動。

由此可知,即便是以timestomp竄改檔案的MACE四個時間戳記,也僅能改動到Standard Info這組時間戳記。

而對照Outlook郵件內容,可得知該Word檔案「apache-cronolog-howto.doc」中的怪異內容即是來自此封郵件,時間為「2015/12/27 下午14:00」,寄件者為Mary,主旨名稱是「hhw ytap olod nd」,如所圖12示。


▲圖12 apache-cronolog-howto檔案中的怪異內容即是來自此封郵件。

然後,阿森再將郵件內容複製到Word應用程式內,存檔並刻意取了一個與內容完全不相干的檔案名稱「apache-cronolog-howto」。

此時,檔案的MACE四個時間戳記應如Filename Info所示為「2015/12/27 下午4點47分」(圖11),但後來阿森再以timestomp.exe竄改該檔案的MACE四個時間戳記為「2009/10/08 下午2點34分」( 圖10)。

研判其存檔的目的是為了要保有檔案內容以供調閱,而竄改該檔案的MACE四個時間戳記則是為了混淆及造成假象,哪怕這些檔案被鑑識人員發現,也會因MACE四個時間戳記而誤判其為多年前才有存取行為的檔案,與目前案情無關,便可誤導鑑識人員將其忽略,或者造成Timeline分析上的混亂。

找到密文的線索

鑑識人員R歸納了一下目前的發現,綜合成以下 幾點:

1. 密文中的每一行應代表著一句話,字串之間以空 格(Space)相隔,但無其他標點符號,研判不加其他標點符號的原因是避免被猜出段落,而以空格做為間隔,應是為了斷詞以避免語意不清。

2. 這些字串最短為1個字母,最長為5個字母,並且 部分字串出現頻率頗高。這是目前唯一確定的規律性,顯見這些字母組合應具有一定規則。

3. 這些字串無法以英文字彙或發音找出規則性或關 聯性,顯見應是對應於某種特殊規則的組合。

R心想,若是有對應到一個特殊規則,那為何會沒有任何對照表的存在,難道是專門打造用來讓傳送接收兩方均能憑肉眼及記憶力,便可輕鬆加以編碼及解碼的規則?要嘛是犯罪集團份子的記憶力及理解力有相當程度,要嘛是這規則並不複雜,且經一定訓練即可上手。

終於真相大白

R仔細地在活化後的快照中查找相關線索,同時腦海中閃過各種可能性,若有所思地模擬阿森的操作行為。突然間,R靈機一動,發現了關鍵所在,R立刻進行解譯並出示給長官過目,解譯結果如圖13?圖14所示。


▲圖13 解譯結果1。

▲圖14 解譯結果2。

大家知道R的發現了嗎?沒錯,就是「倉頡輸入法」。R根據圖15的發現研判阿森所使用的中文輸入法種類有注音以及倉頡,而密文的編碼解碼規則可能就跟這兩者有關。經過驗證之後,證實密文的編碼解碼規則就是倉頡輸入法的拆字規則。


▲圖15 阿森所使用的中文輸入法種類。

結語

歹徒雖然聰明地利用了反鑑識工具timestomp竄改檔案時間戳記,同時又利用鑑識設備及軟體的弱點,也就是它們無法辨識自定義的編碼規則所產出的密文,使得初期的偵辦方向忽略了這些可疑的郵件及檔案內容。

這是由於鑑識人員當初在鑑識分析時,僅依照一貫的SOP以各種專業鑑識軟體進行了證物預處理(Evidence Processsing)及關鍵字搜尋(Keyword Search)使然,自然未能「看」到有著這些怪異內容的郵件與Word檔。尤其是那些有著怪異內容的Word檔,檔名看起均十分正常,除非逐一打開來以肉眼檢視其內容,不然是絕無法光靠電腦或任何鑑識軟體察覺出異狀。

這也是數位鑑識的最高指導原則,即是「善用工具,但不過度依賴工具」,工具無法幫鑑識人員判斷「內容」為何,是否有與案情相關或任何可疑之處,仍須仰賴鑑識人員憑藉經驗與判斷來還原真相。最後,在鑑識人員鍥而不捨努力追查之下,以自身的經驗及判斷找出關鍵所在,並成功解譯密文,順利破獲此一販毒走私集團,將歹徒繩之以法。

<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!