资讯隐藏於多媒体数位监识之研究-东海大学个人网站网路硬碟.docVIP

資安事件之電腦鑑識即時應變工具使用研究 王旭正 中央警察大學 資訊管理系 Email: sjwang@mail.cpu.edu.tw 柯宏叡 彰化縣警察局 資訊室 黃嘉宏 中央警察大學 電子計算機中心 陳世豪 中央警察大學 資訊管理系 張躍瀚 中央警察大學 資訊管理系  摘要 隨著電腦/網路犯罪問題日漸嚴重，面臨這新興的科技犯罪，個人/機關/團體有必要瞭解電腦/網路的資安犯罪事件發生時，立即從事標準的作業程序，使所擷取的數位證據資料的效力能在法庭上得到認可，是因應資訊時代資安事件發生時追蹤/起訴事件嫌疑者的重要判定佐證與保障正當資訊媒介使用者權益的重要證據來源。資安犯罪事件發生時，除了須遵循一定之電腦鑑識步驟，以防止其取得之證據失去法律效力，更要清楚地了解在面對不同的犯罪型態或不同作業平台所應該使用的電腦鑑識工具。故此，本文研究各式電腦鑑識相關工具，並探討當資安事件發生時，實務單位，諸如企業機構的資訊中心，在電腦鑑識的過程當中如何使用這些工具能即時應變並妥善配合電腦鑑識之流程。藉此得以用最適的工具來取得最有利的數位證據。 關鍵字: 電腦應用，鑑識工具，電腦鑑識，犯罪問題 壹、簡介 電腦/網路犯罪問題伴隨著資訊科技與網際網路的發展而來，據行政院法務部之統計，2003年度起訴之電腦犯罪案件達2026件，而自2004年1月至11月期間遭起訴的案件就高達2650件，可見電腦/網路犯罪案件數量正逐年上升，鑑識人員必須面對越來越多電腦/網路犯罪案件，因此，適切的電腦鑑識程序與即時應變的電腦鑑識工具顯得越來越重要。面對以電腦為通訊工具、儲存設備、犯罪標的之各種犯罪類型，為了能夠利用資訊技術在個人電腦、工作站等各種資訊相關設備中找出犯罪偵查之線索與證據，並且在取得證據的過程當中，能同時確保其證據能力與證明力，「電腦鑑識」便因應而生，此一名詞最早是在1991年提出，依據Kuchta [2]之見解：「電腦鑑識是有關電腦應用與法律的議題，使用電腦技術分析、擷取並解釋從電子媒體上所採集的數位證據，並且取得法律上的效力(Internet Forensics)及數位鑑識(Digital Forensics)。簡單來說，電腦鑑識泛指所有藉由電腦設備為媒介進行犯罪的鑑識工作;網路鑑識是針對利用網路為傳媒進行犯罪的鑑識工作，例如上述線上遊戲裡盜取網路遊戲貨幣案件的鑑識工作即是;數位鑑識是指對於數位資料所作的鑑識工作。由於一般的電腦設備裡儲存的即為數位資料，所以電腦鑑識與數位鑑識的意義以科技的數位化趨勢而言，電腦鑑識與數位鑑識大致是泛指數位資料的鑑識工作，電腦鑑識為廣義的鑑識作業名詞。在本文中論及電腦鑑識與數位鑑識的範疇時將統一以電腦鑑識作說明。若將電腦鑑識相較於網路鑑識的使用範圍差異，前者的電腦鑑識涵蓋範圍較廣，而後者的網路鑑識範圍則較侷限於網路的作業環境，可釋義為包含在電腦鑑識(或數位鑑識)下針對網路的使用所衍生的面對網路犯罪的鑑識作業。為了因應日益增加之電腦/網路犯罪的資安事件，鑑識人員應對即時應變的電腦鑑識工具有更深一層之認識，本文即探討如何即時應變使用電腦鑑識工具以因應不同之電腦/網路犯罪類型，並進一步探討電腦鑑識工具之適用性與分析其功能之差異。 本文的後續章節編排如下，第二節為電腦鑑識程序，第三節為即時應變電腦鑑識工具之研究與分析，第四節為結論。 貳、電腦鑑識程序 數位化趨勢下，電腦鑑識是指數位證據的採證及鑑識的過程。其實電腦鑑識與傳統的刑事鑑識工作差不多，都是證據的採集及分析。只是電腦鑑識的對象是電子資料，主要是用來協助執法人員偵辦電腦及網路犯罪。基於數位證據異於一般物理證據的特性，故在證物的處理上應更為注意，良好的鑑識程序將使得數位證據更有公信力。邏輯性鑑識的程序運作如下 [4]： 一、證據收集：最常見作法的應該是磁碟備份、復原及密碼破解工具軟體。事實上，證據收集必須到任何資訊能夠存在的角落進行收集工作。不管是網路上或電腦中，根據犯罪手法的不同，得使用不同的工具進行蒐證。對於磁碟備份、復原及密碼破解工具軟體的方式進一步說明如下: (一)磁碟備份軟體：應使用位元串流拷貝(Bit Stream Copy)，為的是連磁碟的狀態也一起複製下來，且至少應複製兩份。 (二)磁碟復原軟體：主要是為了復原磁碟中剩餘空間(Slack Space)的檔案，因為嫌犯者為煙滅證據，經常會把重要資料或犯罪工具從電腦中刪去，適當利用復原工具便能將這些檔案復原，從中找尋可靠有利的佐證資料。 (三)密碼破解工具：為順利檢視所有資料，以各種工具進行密碼破解是必要的，並進一步收集破解後相關證物。常見的像是BIOS(基本輸出入控制系統Basic Input Output System)密碼、Windows登入帳號密碼或Office操作軟體密碼等。 二、證據保存：對脆弱的