化身 CSI 鑑識偵探!「數位鑑識」專家如何從小小記憶體找出犯罪證據?

【我們為什麼挑選這本書】在電腦與網路快速發展、人與人的溝通/交易日漸電子化的時代,新型態的犯罪浮出檯面、資訊犯罪案件也頻頻發生。《e 科技的資安分析與關鍵證據:數位鑑識》一書由警大資訊系教授王旭正、東海資工系教授林祝興、政大資科系教授左瑞麟共筆,說明網路科技普及的世代,有效進行數位鑑識的重要性,相信對於從事資訊安全、軟體安全相關領域的讀者,會有實質的幫助。(責任編輯:賴佩萱)

數位鑑識泛指所有以電腦設備為媒介進行犯罪後對電腦所進行的採證工作 ,我們亦可把數位鑑識比擬成電腦結構中之軟體,針對不同的犯罪情況,調查/採證人員所使用的鑑識方法而有所不同,這也就像是電腦軟體針對使用者不同的需求,而使用不同的方式來解決使用者的問題一樣。

「數位鑑識」在數位化時代的重要性

另一個說法是指對於數位資料所作的鑑識工作。由於一般的電腦設備裡儲存的即為數位資料,所以 數位鑑識的意義以科技的數位化趨勢而言,大致上是泛指數位資料的處理工作

數位鑑識之目的在於蒐集、檢驗及分析數位證據。 藉由保存電腦犯罪證據,並透過電腦採集有意義的證據資訊或從片斷的資料中,描繪事件大略情形以進行現場重建 。其中,數位證據也就是讓調查/採證人員透過數位鑑識的幫助,用來證明犯罪人是否真的有犯罪實證,並重建犯罪軌跡把侵犯者繩之以法的有效媒介。

數位證據有如電腦結構中之硬體,這些硬體散落在犯罪現場,需要靠調查/採證人員細心的將所有的證據一一找出,電腦結構中空有硬體而沒有軟體的輔助,電腦硬體也是英雄無用武之地。

從這個觀點我們可以知道電腦結構中,硬體跟軟體是相依並存的,缺少了那一部分都無法發揮其功能,由於電腦硬體與軟體的天作之合,開啟了電腦世代的新紀元。反觀「鑑識」與「證據」的組合,互依互存就有如天作之合的軟體「鑑識」與硬體「證據」,少了其中一種就無法發揮其作用。

記憶體作為數位證據,揮發記憶體/非揮發記憶體大不同

「記憶體」是電腦設備或相關元件中儲存各種資料的核心,因此,在取得欲進行鑑識的目標裝置後,第一步即是將裝置中的記憶體內容萃取進行備份,以利後續分析工作

一般而言,依照記憶體儲存資料的特性可分為揮發性(Volatile)與非揮發性(Non-volatile)兩種, 儲存在非揮發性記憶體中的資料,除非使用者加以刪除或更動,否則將常駐於儲存裝置中 ,如:唯讀記憶體(Read-Only Memory,ROM)與快閃記憶體(Flash Memory);而 存於揮發性記憶體中的資料,則是一旦電腦關機或是重新啟動後,便會從電腦記憶體儲存空間中消失的資料 ,如:隨機存取記憶體(Random Access Memory,RAM)與快取記憶體(Cache Memory)。

存放於電腦揮發性記憶體中的資料,通常是運作中的程序或是當時與電腦狀態有關的資料,常見的揮發性資料有:

1. 系統的基本程序
2. 正在執行的程序或剛終止執行的程序
3. 打開的 TCP/UDP Port 的資訊
4. 網路連線的狀態與分享的資訊
5. 儲存在虛擬記憶體中的檔案
6. 快取記憶體中的資料
7. 隱藏的資料

記憶體與數位鑑識的關係

除了一般常見的隨身碟或硬碟中的實體記憶體外,記憶體還包括了虛擬記憶體與快取記憶體,分述如下:

虛擬記憶體 :虛擬記憶體相對於實體記憶體而言,是一種作業系統運用的技術,將磁碟空間模擬成記憶體,使得在實體記憶體不足的系統上,也可執行需要記憶體較多的應用程式。 通常 Windows 中會將虛擬記憶體的大小調整在實體記憶體的 2.5 倍,虛擬記憶體在磁碟內是以「虛擬記憶體交換(置換)檔」存在 ,就是拿一部分的硬碟空間來當作記憶體使用,先把一些記憶體中閒置太久的程式, 丟到硬碟上,當有需要用到程式或資料時再從硬碟裡叫回來。

使用虛擬記憶體之優點:

1. 程式不再受到實際記憶體可用空間限制,記憶體可用空間變大
2. 有更多程式能同時運用記憶體,增加了 CPU 使用率
3. 載入程式或置換程式所須 I/O 次數減少,速度加快

快取記憶體 :由於 Intel CPU 速度的飛快躍進 ,而處理速度進步規模遠遜於 CPU 的記憶體無法完全支援配合,因此電腦系統,必須在 CPU 與傳統的 DRAM 記憶體之間,以快取記憶體系統(Cache Memory System)作為兩者之間的緩衝。當 CPU 處理資料時,它會先到快取記憶體中去尋找,如果資料因之前的操作已經讀取而被暫存於其中,就不需要再從主記憶體(Main Memory)中讀取資料。由於 CPU 的執行速度一般比主記憶體快,因此若要經常存取主記憶體的話,就必須等待數個 CPU 週期而造成時間的浪費。

數位鑑識流程與記憶體分析的關係,如下圖所示:

數位鑑識儲存資料分析流程(圖片來源:博碩文化)

執行數位鑑識任務要注意什麼?

數位資料的擷取,包含實體擷取與邏輯擷取。

實體擷取是對於實體儲存媒體資料的檢查,如硬碟、檔案及資料區塊 ,其處理方式包括:關鍵詞的搜尋、檔案切割的方式,以及從切割表中辨別硬體實體空間,或是對未使用空間的檢查。

邏輯擷取是指在檔案系統上所呈現的動態檔案、被刪除的檔案、殘餘空間的檔案,及未被配置的空間所儲存的檔案進行資料檢查,並可利用摘要比對來將檔案減量

以下列舉幾項進行鑑識時應注意事項:

1. 必須注意檔案系統以及檔案結構
2. 所有的目錄應該詳細列出:文件的結構、檔案名稱、日期/時間標籤及邏輯檔案大小等
3. 必須注意檔案系統以及檔案結構
4. 所有的目錄應該詳細列出:文件的結構、檔案名稱、日期/時間標籤及邏輯檔案大小等
5. 必須注意安裝何種作業系統
6. 必須檢查使用者建立的檔案,利用系統上的應用程式、檔案瀏覽軟體或是十六進位文字模式瀏覽檢查;檔案形式包括:文字檔案、報表、資料庫、財務資料、電子郵件、數位影像、聲音及其他多媒體文件
7. 如果有發現任何由作業系統檔案和應用程式產生的文件都應該檢查。這些檔案包括:開機檔、註冊檔、暫存檔、隱藏檔、歷史檔及記錄檔等
8. 必須注意系統中安裝的各種應用軟體
9. 透過檔案摘要(計算訊息摘要)的比較,可以將檔案減量,排除一些不需要檢查的檔案
10. 硬碟中未使用和未被分配的空間都應該針對之前刪除的資料(資料夾)做檢查,並注意殘餘空間資料、使用者故意配置的空間,以及自動將檔案切割存放在未被配置或未使用的空間,都可能有潛在的證據
11. 可以用關鍵詞檢索以辨識檔案或是硬碟空間,找出具有證據價值的資料或是縮小證據搜尋範圍
12. 針對檔案系統如 NTFS、FAT、MFT 等做檢查,包括任何不規則或是特別的檔案系統
13. 並不是每一個磁區都可正常的被存取做檢查,例如磁碟片上特殊的軌道或磁區,或者硬碟上被保護的磁區
14. 為了加強對資料、使用者設定、設備裝置和軟體功能的檢驗,可能會用到開機磁片來開機,或是在原始裝置上使用安全的儀器,來檢驗軟硬體設備及其功能
15. 鑑識用的軟體,在檢驗的過程中需要注意它的版本,及軟體供應商的授權使用協定。此外,鑑識機構與鑑識人員使用的軟體必須經過適當的測試, 並通過有效性的檢驗

(本文書摘內容出自《e 科技的資安分析與關鍵證據:數位鑑識》,由 博碩文化 授權轉載,並同意 TechOrange 編寫導讀與修訂標題。)

你可能會有興趣


科技報橘 LinkedIn 上線!

最新科技產業動態、技術新突破、專業職能技巧提升 ....... 鎖定 TO  LinkedIn 專業品牌,提升職能與產業 Know-how,躋身產業菁英之列 https://www.linkedin.com/showcase/techorange

點關鍵字看更多相關文章: