结合非接触式IC卡之电子投票系统的设计与实现-MobileSecurityLab.DOC

Live-analysis數位鑑識系統平台的設計與實現 嚴珮華　　　　　 國立高雄師範大學資訊教育研究所 研究生 amber8520@　　　　 楊中皇 國立高雄師範大學資訊教育研究所 教授 chyang@ 由於電腦的普及與網路的快速發展，除了帶來改變了我們生活型態，也改變了犯罪的手法，許多犯罪以電腦當作犯罪的工具、場所及目標，此類的罪犯案件也日益遽增，面對高科技的電腦犯罪案件，傳統的鑑識人員已無法完整的採集證據，須藉由電腦鑑識工具的輔助收集與分析數位的證據或是將破壞的資料還原。本研究以Linux為開發平台，使用開放原始碼之數位鑑識工具，以確保鑑識軟體的穩定性及其所採集證據之證明力，為了避免因關機造成記憶體資料流失，以Live-analysis的收集數位證據，另外製作Live DVD/USB進行映像檔之製作與分析，最後在結束鑑識流程前，以MD5及SHA-1編碼進行檔案確認，在司法審查上確保數位證據的公信力。 ：Live-analysis、Live DVD/USB 隨著資訊科技的蓬勃發展，電腦已經成為人類生活、工作、娛樂上不可或缺的一部分，在高科技為我們生活帶來便利之餘，使得電腦犯罪也隨之日益增多。近年來，高科技犯罪案件層出不窮，根據內政部警政署警政公佈97年1-6月台灣電腦網路犯罪案統計[1]，網路詐欺4,981件(占41.48%)，妨害電腦使用2,023件（占16.85%）次之，違反兒童及少年性交易防制條例1,871件（占15.58％）第3，侵害智慧財產權 1,340件(占11.16%)第4，一般妨害風化 1,131件，（占9.42％），可見電腦犯罪案件的嚴重性。而電腦/網路犯罪的現場，已不再只是傳統的犯罪跡證，鑑識人員需依賴鑑識工具取得數位證據。 數位鑑識所得之數位證據是無實體非物質的，並具有以下三個特性[]：(1)可以輕易的複製與修改、(2)不易證實其來源及完整性、(3)無法以人之知覺直接感知、理解其內容。在數位鑑識的過程，為了使數位證據具有法律效力，須參考ACPO國際電腦證據組織(Internation Organizatioin of Computer Evidence)於1999年提出「The Good Practice Guide for Computer-Based Evidence」的電腦證據指導原則，才能使數位證據具有法律效力[]。 本研究著重於電腦系統的安全性及系統篡改、受損之分析與還原，並強調據證之同一性，才能在法庭上成為有效的及可信賴的證據，依據研究所需之相關名詞進行文獻分析。 一、數位鑑識 由於科技的快速發展，提供我們便利的生活，也成為駭客或是心懷不軌人士犯罪的利器，進而進行資料竊取、篡改等不法行為，而我們如何找出這些違法的行為軌跡，則有賴於數位鑑識的技術。 『數位鑑識』一般電腦中資料的儲存都是電磁記錄，凡指針對數位資料所進行的鑑識，我們皆稱為數位鑑識[]。一般而言，數位鑑識分析的目的是鑑定調查的數位證據，其應用包含電腦入侵、鑑識公司內未經授權電腦的存取、兒童色情圖片及任何實體電腦的犯罪。數位鑑識的程序一般分為三個階段[]：採證(Acquisition)、分析(Analysis)、呈現(Presentation)。 採證階段(Acquisition Phase)：此階段的重點是儲存數位系統的狀態及所有的數位資料，以便稍後進行分析，通常利用鑑識工具來進行整個硬碟的拷貝，產生的檔案我們稱之為映像檔(image file)。 分析階段(Analysis Phase)：鑑定我們所採集的證據，包含檔案、目錄內容的審查及還原被刪除的內容，分析數位證據與案件的關聯性。 呈現階段(Presentation Phase)：將證據分析的結果文件化，提供檢調單位與法院審理案件時的參考依據。 目前數位資料進行採證與分析的過程中，我們無法以人工的方式完成，必須仰賴數位鑑識工具的協助，而目前知名的鑑識工具如EnCase、Forensic Toolkit(FTK)等工具[]，皆是商業軟體，其價格昂貴，對於一般企業或個人恐怕無法負擔。但若想自行開發工具，依據中央警察大學林宜隆、王旭正博士等研究[16]，認為自行撰寫並不是很好的方式，因為其公信力易遭受質疑。 故本研究採用目前開放原始碼的數位鑑識軟體為基礎來進行系統的開發與實現。 二、數位 電腦犯罪有別於傳統的犯罪行為，在蒐證的過程中，鑑識人員所取得的資料皆為數位的格式，稱之為數位證據。 數位證據[]是指儲存於電腦媒體中該資訊能構成犯罪要件的數位資料，如：圖片、聲音等等，其包含電腦科學、鑑識科學與行為證據分析等三個領域[3]。由於數位資料非實體的物質，其具以下幾個特性[]：無限及無差異複製、不著痕跡的增修改、原始作者不易確定、有還原的可能性、資料完整性驗證等性質。 鑑識