数位鉴识与资料救援前瞻性研究.pdf

數位鑑識與資料救援前瞻性研究 主講人: thx (張道弘) 1 什麼是數位鑑識? 數位鑑識也稱為電腦鑑識，是一門有效解 決資通安全與電腦犯罪難題的科學。 其定義為：以一定程序保存、識別、抽 取、記載及解讀電腦或網路媒體 ... 。 數位鑑識以及偵查的方式，在案件的偵 查，透過軟體並有流程，拿取一些儲存於 儲存裝置，可有助於案情釐清以及曝光。 2 司法單位所用的儲存媒體鑑識技術 使用：Encase ， Winhex ，R-Studio ， FTK imager ,Helix Live CD純軟體 做邏輯區分析處理。 資料讀取出來,純做數值運算,撈取資料 如果是主流 File System 現行商用軟體已 非常成熟.技術公開透明。 3 數位鑑識技術生活化應用 此外以下狀況也會運用到數位鑑識技術 但是要注意法律: 無故以不正方法侵犯他人隱私 知悉之他人秘密，即為妨害秘密罪 徵信社 商業或特務間諜 公司管理人員查詢使用者電腦行為 家長調查查詢家庭小孩電腦行為 4 數位鑑識法理性流程 由於數位證據容易被修改,因此若要做為法 律證物,要有一定流程,校驗程序以保障證物 沒被修改. 在設計數位鑑識軟體上因此需加入 1.專案管理. 2.對每次數位證據操作有記錄 3.對主數位證物檔有HASH記錄.以確保數位 證據沒被修改. 5 困難度高的數位鑑識 基層的警員以及偵查隊需要做更高技術層次 數位鑑識，須透過專門的偵查部門才有設備 跟研究人員才能進行取證，會嚴重影響到辦 案進度及只有重大案件才能用上這些技術. 實際上 如果瞭解底層技術，透過了解其原 理以及運作模式的情況下，可以用普通的設 備或軟體達到接近專業效果 6 高難度鑑識 :ATA 加密與解密 加密為 ATA 規範的一部分，用於保護硬碟資料。ATA 密碼 長度為 32 位元，包括：User Password 和 Master Password （Master Password 僅用於解除 User Password 而並不會鎖住 硬碟）。 ATA 密碼的設置是由 ATA Protocol Security SetPassword 指令組完成的。執行 Security Set Password 指令後，在硬碟下 次重新啟動後密碼就會生效。 ATA Password 存在電路版上外也記錄在碟片模組上 (在碟片上的故軔體+參數通稱為模組). 因此更換電路版無法解密。 ATA 密碼保護的硬碟初始化 ATA 待命訊號正常,但僅回應有限 的 ATA 指令，如設備識別型號指令，序號識別指令等等，但不 允許讀取硬碟上的資料 。 7 ATA 加密與解密 用戶如何判斷硬碟被設定 ATA 加密？ 1.硬碟在BIOS中可以正確識別（包括型號，序列號，LBA 等 等）。