本篇將探討反鑑識的工具與使用手法,並歸納出對於反鑑識技術的鑑識萃取工具與方法,並透過一個有關Facebook社群網站之情境案例來說明相關數位證據調查,提供鑑識調查人員在遇到反鑑識手法的犯罪行為時,可用來執行鑑識調查方式的參考。
在數位鑑識的過程中,常會面臨到反鑑識帶來的挑戰,又因現有的反鑑識工具在網路上容易取得,使得非法者能夠輕易地使用這些反鑑識工具進行非法的操作。
反鑑識工具的發展日新月異,網路上已有許多免費的反鑑識工具提供下載,在正面的使用上,可以提供使用者防護個人的隱私,例如在公共場所使用免費的電腦網路資源時,透過相關工具清除相關瀏覽紀錄及暫存Cookies資料,確保個人資料不被外流。
但是,在負面的用途上卻可能讓為惡者用來抹除其犯罪足跡,讓鑑識人員難以取得有關犯罪行為的數位跡證,或是造成鑑識程序上的爭議,導致在法庭上失去證據的有效性。
為了因應反鑑識所帶來的挑戰,以下針對網路上容易取得的鑑識工具,概略地做介紹,並著重在分析這些反鑑識工具可能被使用在非法行為的方式,藉由歸納反鑑識的特性與其對應的鑑識工具,以有效取得相關數位證據。
何謂反鑑識
為了讓大家能夠清楚瞭解反鑑識的犯罪手法,先從反鑑識的基礎概念開始介紹,再逐步對網路上能夠輕易取得的反鑑識工具以及網頁隱私瀏覽器、可攜式瀏覽做詳細的說明。
反鑑識的應用
「反鑑識」依其字面上的意義為「在鑑識工作過程當中,企圖影響鑑識工作,或試圖對證物的儲存和使用產生變化」,反鑑識通常被犯罪者用於銷毀證據、干擾證據及阻礙證據取得的手段上,其中銷毀證據又為犯罪者最常用的手段之一。
銷毀證據又可分為「硬體銷毀」與「軟體銷毀」兩種方式,硬體銷毀諸如類似用實體的工具將磁帶消磁或損毀,使資料內容無法做讀取;軟體銷毀則是利用程式碼對資料做實體性的刪除或邏輯性的刪除,邏輯性的刪除只有將資料的指標刪除,並且標示為可複寫的狀態,稱為簡單地刪除;而實體性的刪除則是針對磁碟位元區塊做逐位元地複寫,又稱安全地刪除。
相對地,反鑑識也可運用在正面的用途上,像是利用反鑑識的技術保存證物,讓為惡者找不到證據,使其無法做刪除,例如建置雲端備份監視器系統,讓街道影像即時上傳至雲端監視系統的硬碟中,使得端點的監視器即使受到實體性刪除或是邏輯性刪除,也無法變更雲端硬碟內的資料,以確保資料的完整性。
資料抹除工具
對非法者來說,為了讓犯罪足跡不被發現,最常用的就是資料抹除工具,對電腦內相關的資料做實體性的刪除。硬體銷毀的缺點主要是時間與成本的耗費,銷毀硬體如同傳統犯罪的毀屍滅跡,若採用硬體銷毀,因證據常無法完全被銷毀,所以容易藉由鑑識工具還原部分數位跡證。而邏輯性刪除,因為只有刪除資料的指標,所以讓資料抹除工具成為為惡者喜歡使用的工具之一。
免費的反鑑識工具在網路上隨手可得,以Revo Uninstaller為例,其提供了完整且深入的資料移除功能,功能介紹如下:
1. 軟體移除程序:提供內建、安全、穩健及進階四種
軟體移除模式,透過登錄檔掃描、硬碟掃描等功能,能夠更完整地將該軟體留下的登錄檔紀錄、垃圾檔案刪除掉。其中內建模式與Windows新增移除程式功能一樣,只使用軟體預設的移除功能來解除安裝。
2. 自動啟動管理員:能夠在開機的Windows系統啟動
軟體,提供勾選移除自動啟動的程式,也可以不移除,僅終止程式的執行。
3. 垃圾檔案清理器:用來掃描及移除硬碟內使用不到
的程式,能夠移除硬碟中殘留的暫存檔、說明文件及dll檔,將硬碟內使用不到的垃圾檔案都清除掉。
4. 瀏覽清理器:可清除IE、Firefox及Chrome等網頁
瀏覽器中的瀏覽紀錄、網址列清單、Cookies以及暫存檔等相關資訊,能預防網頁攻擊,並確保用戶在網頁瀏覽上的隱私。
5. MS Office清理器:移除Microsoft Office內各個軟
體如Word、Excel等開啟、編輯文件的歷史紀錄。
6. 形跡移除器:提供檔案實體性的刪除,透過複寫的
方式抹除硬碟中被標示為已刪除的檔案,能夠有效地加以抹除。如圖1所示,透過Revo Uninstaller
行跡移除器針對對欲刪除磁區進行實體性的資料
抹除。
|
▲圖1 資料抹除工具Revo Uninstaller的操作介面。 |