可供未来进一步发展相关数位鉴识标准作业程序参考之-昆山科技大学.PPT

數位鑑識標準作業程序之實務及方法研究 計畫主持人：賴溪松 教授 成功大學電機系特聘教授 崑山科技大學 資訊學院院長 報告人 ：林敬皇 博士生 2006/08/18 Outline 前言 數位鑑識標準作業程序 數位鑑識工具 個案分析 結論 前言 數位鑑識目標為建構一個在法律規範下，利用科學驗證的方式來蒐集、調查、分析數位證據以及證據的還原，包含在各種儲存媒體及網路傳輸等，可供法院採信的各種型態電腦資訊之鑑識方法與環境。提供具效率之電腦及網路犯罪防護機制、網路封包解析與截取、電腦與網路犯罪之偵查與蒐證技術，並研究防範與遏止及反擊之道。 Computer Forensic v.s Digital Forensic What is Computer Forensic? The process of identifying, preserving, analyzing, and presenting digital evidence in a manner that is legally acceptable. (McKemmish, 1999). 國內學者的定義 電腦鑑識是一門有效解決電腦犯罪難題的科學。電腦鑑識定義為：以周延的方法及程序保存、識別、萃取、記載及解讀電腦媒體證據與分析其成因之科學。 (林宜隆、楊鴻正、王俊雄，2002 ) Investigate v.s Forensic Investigate Event To search for and arrest Crime Forensic To discover Sober Truth No determine guilt or innocent What will Computer Forensic do? Forensic Computing… Forensic Computing Computer Forensic Network Forensic Internet Forensic Cyber Forensic Digital Forensic Software Forensic….etc,. 研究架構 數位數位鑑識原則鑑識標準作業程序 數位鑑識原則 數位鑑識程序及方法論 數位鑑識作業程序 標準作業程序 數位鑑識原則 Association of Chief Police Officers，ACPO 為了取得法院對於電腦證據或數位證據的認可，處理警察人員或其委託人員，必需確保電腦或其他電子媒體上的資料保持為犯罪現場原始的狀態，不得修改的任何內容。 在特殊情況下，如果需存取原始電腦證據的資料，則必須由有能力處理的人員，進行存取的動作，並對其處理的動作予以說明及適當解釋。 對於電腦證據的任何稽核資料或其它紀錄、分析的處理過程，應建立處理方法、紀錄與保留結果，就算委由公正的第三者進行相同的處理程序，其所得結果應相同。 案件承辦的負責人，必須確實遵守法律的規範與以上的處理原則，並且應用於所有對於案件電腦設備的存取，不管任何人存取電腦資料或使用拷貝設備拷貝資料都必須遵守法律規範與以上原則。 數位鑑識原則(cont.) 事件現場蒐證原則 保護第一手證據 數位證據擷取分析原則 保持最原始蒐集之證物的完整性。 數位證據保存與保護原則 實體的保護 邏輯的保護 結果呈現原則 陳述所發現的事實，而非負責鑑識人員的個人感覺、推測或主觀意見 必須對技術名詞簡要清楚的解釋 數位鑑識程序及方法論 王旭正、柯宏叡、楊誠育 (網站入侵安全的證據存留鑑識探討, Communications of the CCISA ，2002, Vol. 8 No. 4) 保存證據 檢驗證據 分析證據 結果呈現 數位鑑識程序及方法論(cont.) Timothy (Overview of Methodology for the Application of Computer Forensics, security focus ，2000) 數位鑑識程序及方法論(cont.) Kuchta 電腦鑑識程序應該包含：準備工作(Preparation)、紀錄與文件化（Documentation）、收集（Collection）、驗證（Authentication）、分析（Analysis）、保護（Preservation）、產出結果（Production）、報告文件（Reporting）八種程序。 數位鑑識程序及方法論(cont.) Thomas Rude 電腦鑑識的程序為現場鑑識準備工作(Preparation)，快照（Snapshot），移轉（Transport），實驗室鑑識準備工作(Preparation)，調查（Examination） Deniz Sinang