鑑識人員除了要盡其可能地透過鑑識步驟將儲存於使用者電腦內的數位跡證進行萃取工作外,另一重要的議題是如何從蒐集的資料中找尋關鍵證據讓事件還原。對此,本文將介紹Google關鍵字搜尋的鑑識方法,利用ChromeAnalysis Plus鑑識軟體萃取相關數位證據,若有非法人士利用網路進行違法活動,即可判斷使用者有無進行非法活動。
近年來,因為網路觀念普及且Web 2.0概念推出,使得網路資源日漸豐富,甚至可以將網路比擬為資料豐富的大型資料庫。根據《Wired》雜誌創辦者Kevin Kelly粗略統計,網路由數兆個網頁組成,在這廣大無邊的資料內,如何找尋符合自身需要的資料,想必需要一套好的搜尋方法,才能在浩大的網路中找到屬意的資訊,而搜尋引擎則是此類問題的解決方法。
瀏覽網路就好比在森林旅行,遊客依靠著地圖做指引以到達目的地,而本文中提到的關鍵字搜尋則扮演這個指引者的角色,協助使用者正確有效率地獲取資料。使用者通常透過搜尋引擎平台的關鍵字搜尋服務及點選網頁來瀏覽網路的資料。
但是,透過搜尋引擎同時也可以搜尋到某些敏感資料,如毒品製造方法及原料、槍械及彈藥販賣、人口交易等資料,使原本不易取得的敏感資料,利用處於開放情況的網路空間內輕鬆獲得,進而達成使用者非法的意圖,導致社會治安不佳。
而這一切於網路的活動,無論是正向或負向,皆會經由瀏覽器而被記錄在本地端電腦,儲存成網路紀錄檔。同理,若非法人士利用網路進行犯罪,鑑識人員可透過萃取紀錄檔來還原事件真相,使用者的一舉一動是可被了解的。
相關背景介紹
由上方的敘述可知,當使用者對於自身不熟悉領域的資料,透過搜尋引擎平台上的關鍵字搜尋服務可以讓使用者找到想要的資訊,但非法人士同樣也會透過此管道來搜尋他想要的犯罪資訊,那麼搜尋引擎是如何運作的呢,又會留下何種紀錄,將是需要被關注的問題。
以Google搜尋為例,Google創辦人Larry Page曾經說過,Google要給用戶「恰如所需的資訊」,從1998年創立至今,位居全球搜尋引擎市占率排名龍頭,除了顯示使用者人數龐大之外,也代表Google搜尋技術相當優秀受到肯定。搜尋引擎是透過良好的演算法,將資訊搜集、過濾並整理,提供使用者搜尋資訊的系統。以下對搜尋引擎原理及Google資訊蒐集作基本討論整理。
蒐集資訊
Google從1998年創立至今,已成為全世界搜尋引擎的佼佼者,原因在於其優異的搜尋演算法。搜尋引擎原理是利用網路蜘蛛(自動搜尋機器人程式)自動搜尋網頁並儲存網頁資訊,然後再根據網頁上的超連結搜尋其他網頁,一直循環下去,隨著時間的推演,所蒐集的網頁資訊將會相當可觀。Google基於此原理,利用資料關連性及全面性來取代傳統文字排序的搜尋方式,有如以下特色:
1. 關聯性
Google可根據網頁中所能連結其他網頁的資料來區分網頁的重要性,訂出網頁級別。重要性並非固定,因為網路資料隨時在變動,為此Google每周都會更新搜尋演算法,並重新評估網頁級別。所以,Google透過使用者的網頁紀錄,可判斷網頁資訊與使用者的關聯性,進而提供個人化搜尋結果。
2. 全面性
網路資料種類繁多,為能夠滿足眾多使用者的需求,Google有規模地建立網頁索引,在數兆的網頁中,Google索引的編制便占一億GB的空間,在此龐大的資料庫,足以說明網路豐富的資料,而在此全面性的要求下,Google除需有足夠的空間儲存外,還需有良好的索引系統。
網路紀錄檔種類
在網路上會留下的紀錄檔類型有下列四種,包括HTTP Cookie、自動填入表單、暫存檔、網頁紀錄檔,如圖1所示。
|
▲圖1 網路紀錄檔之四種類型。 |
HTTP Cookie
HTTP為用戶端與伺服端之間互相商量溝通的準則,例如在台灣彼此利用國語溝通,雙方都聽得懂對方在說些什麼,而在網路世界中,用戶端與伺服端則透過HTTP來彼此通訊。而Cookies是用來儲存溝通過程中彼此所交談的內容,例如兩人交談過程中所使用的文字及帳號ID資訊(圖2)。Cookie可區分為內部記憶體Cookie及硬碟Cookie,差別在於當使用者關閉瀏覽器時,內部記憶體Cookie會消失,而硬碟Cookie不會。
|
▲圖2 含有ID資訊的Cookie。 |