數位鑑識不一定要依靠鑑識人員才能處理,只要使用一套簡易的數位鑑識軟體,一般人就能對自已的電腦進行數位鑑識工作,了解電腦到底發生何種狀況,自行取得資訊來解決問題,這就是所謂的Forensics By Yourself(FBY)。本篇文章將介紹容易上手的數位鑑識軟體「Helix」,並提供一個案例示範,當讀者或朋友遭受到資訊安全威脅的時候,可以透過Helix協助解決問題。
不久之後,在剛剛註冊的信箱裡即可收到該網站寄來的認證郵件,點選下方的連結,就可以開始下載Helix軟體,如圖8所示。
|
▲圖8 點選下方的連結之後即可開始下載Helix軟體。 |
下載回來的檔案一個ISO映像檔,所以可以將其直接燒錄成光碟使用,此種程式檔案格式的好處是,可以被使用但並不會因為存取而改變其內容。
接下來,介紹Helix主要的功能。開啟此光碟的功能之後,可以看到Helix的主要介面,以下簡介主視窗內主要選項的功能,如圖9所示。
|
▲圖9 Helix程式操作主介面。 |
功能1:Preview system information
在第一頁內會顯示這部電腦的相關資訊,而在第二頁則顯示正在執行的程序。
功能2:Acquire a "live" image of a Windows System using dd
第一頁供使用者製作映像檔,在第二頁則提供鑑識映像檔、邏輯記憶體與實體記憶體的工具。
功能3:Incident Response Tools for Windows Systems
這裡分成三個部分,第一部分是針對具有揮發性(Volatile)的檔案做鑑識的工具,例如記錄當時電腦開機時的狀態,第二部分是許多雜項(misc)的整合包,如檔案還原、電腦開關機的時間等,許多有趣的功能都可以在這裡找到,第三部分是關於搜尋密碼的工具,除了會搜尋使用者儲存在系統中的密碼,還提供可檢視使用者上網瀏覽記錄、登錄檔內容的工具。
功能4:Browse contents of the CD-ROM and Host OS
此項目可協助檢視電腦檔案的各項資訊,例如MAC time、CRC驗證碼、HASH值等。
功能5:Scan for Pictures from a live system
可找出使用者選取之資料夾中的全部圖片,就算是被使用者隱藏起來的圖片,依然可以偵測到並且顯示出來。
之所以提供這項功能,是因為有許多犯罪者會將病毒或是機密訊息藏入圖片內,這項功能能夠找出所有的圖片,但要偵測圖片中是否有隱藏訊息,則必須藉助別套軟體。
功能6:Investigative Notes
讓使用者輸入製作報告時所需的相關訊息,例如服務機關、調查者、案件號碼等等。
最後,在完成所有操作並關閉Helix的同時,會詢問是否要製作PDF檔,這個PDF檔會將從開啟Helix之後到關閉為止,在此軟體上的所有操作行為記錄下來。
因為PDF檔無法更改內容的檔案,所以在提出鑑識報告的時候,此檔案就可以保證整個鑑識過程是嚴謹且合乎要求。
以上介紹了Helix相關功能,然而市面上仍有許多其他的數位鑑識軟體,而且每個軟體強調的功能與訴求並不相同,其中以Encase和FTK較普及,而Helix與其他的鑑識軟體的特色又有哪些差異並擁有哪些優勢呢?可參考表1的說明。
表1 Helix與Encase、FTK的比較
Helix相較於如Encase、FTK等其他的數位鑑識軟體,優勢在於它是一套免費軟體,並且整合了許多鑑識工具,而且一般人都可以取得,相當適合初學者及對於數位鑑識有興趣的人。
接下來,就利用剛剛學習到的知識以及取得的軟體,來試著解決資訊安全的威脅!
利用Helix找出禍首
朋友最近抱怨,她寵物的照片突然被匿名的人拿到網路上面公布(圖10),這些照片都是她儲存在電腦中的心血,所以她強烈懷疑是自己寢室內的室友所為,但是苦無證據。
|
▲圖10 自己拍的照片被人放在Facebook上。 |
此時,剛剛所學的數位鑑識相關技能正好可以派上用場。二話不說,就帶著製作好的Helix光碟前往她的寢室,看看是否能夠幫助她解決疑慮。
而在準備進行鑑識作業之前,不妨也將剛剛所學之數位鑑識的SOP應用在這次的行動上。
事件辨別
朋友抱怨有人以匿名的方式在網路上散布她所收藏的寵物照片,由於她從來沒有將照片給過任何人,也不曾在網路上面分享,所以最有可能的情況,就是她的室友擅自使用她的電腦存取照片。
大致推測與了解整起事件之後,有了初步的推斷方面,但是除非有確切的證據,不然她的室友絕對矢口否認,於是開始著手在她們的電腦上找出相關的數位證據。