數位鑑識 即時通訊 IM

因應網頁版無須安裝特性 即時通訊鑑識須與時俱進

以往即時通軟體必須安裝在電腦上才能使用,因此在鑑識調查時可以找到相當豐富的證據。但是最近開始流行的網頁版即時通訊並不會在電腦中留下安裝記錄、對談訊息等相關個人資料,因此鑑識調查方法必須有所因應。本文將著重在網頁版Windows Live Messenger的資料回復,找到相關資訊,重建電腦犯罪者使用MSN的過程,以達成數位鑑識的目的。
在本文中藉由目前最多人使用的即時通訊(Instant Messenging,IM)軟體Windows Live Messenger為研究工具,透過記憶體鑑識的方式,蒐集暫存的易揮發性資料,說明這些網頁版即時通訊功能的資料是可以被回復,並可重建使用者使用MSN的過程,此為鑑識工作的證據收集提供有利的資訊與線索。

隨著網際網路的蓬勃應用,人與人之間主要的聯繫工具,已從傳統的電話漸漸地延伸到多媒體聯繫管道,包括傳真、簡訊、電子郵件與網頁,尤其即時通訊軟體本身的技術成熟,例如MSN、Yahoo! Messenger、AOL、Skype、Trillian、Windows Live Messenger、Pidgin等等,改變人們的溝通與交際方式,使得即時通訊軟體已在一般人的網路生活中扮演了不少或缺的角色。

以往,即時通訊軟體必須安裝於使用者電腦後才能使用,但隨著網頁即時通訊功能和社交網路服務的出現,例如網頁版Windows Live Messenger、Google Talk、Facebook等等,只要透過瀏覽器,即可進行即時通訊功能,這樣的趨勢將成為鑑識調查人員一種新的挑戰。

因為這些網頁版即時通訊功能不同於傳統安裝在電腦主機裡的應用軟體,不會將安裝記錄、對談訊息或是聯絡人清單等相關個人資料,寫入使用者主機的登錄檔、組態檔或是硬碟裡,因此鑑識調查的方向勢必要有所改變。

網頁版即時通訊功能的對談訊息並不會在使用者電腦主機裡留下記錄,而且在關閉網頁或是電腦關機後,這些揮發性的資料都將會消失。

在執行過程中,會有部分或全部的記錄傾印(Dump)在記憶體、分頁檔以及尚未配置的硬碟空間裡,而這將可以成為調查及蒐集關鍵性證據資料的方向。

在數位鑑識的過程中,實體記憶體的使用不像以往扮演那麼重要的角色。在原先蒐集數位證據的方法中,著重在靜態媒體(Static Media)如硬碟、CD、DVD以及快閃記憶體裝置(Flash Memory Devices),希望藉由檔案內容復原技術(File Carving),蒐集到相關敏感性的資料。

針對傳統媒體來源,一般數位證據的蒐集過程中有兩個重要的步驟,分別為保全數位資料和分析資料。然而,實體記憶體是不同於傳統的證據收集方式,因為實體記憶體並不容易保全資料與進行資料分析。而且,靜態媒體和實體記憶體所回復的資料屬性亦不同。

靜態媒體是一種資料長期儲存的地區,反之,實體記憶體是當作業系統處理運算資料時,短期資料儲存的區域。整體來說,實體記憶體是較難去得到實質資料和進行分析。基於以上這些理由,實體記憶體的鑑識較少被使用在數位鑑識的過程中。

隨著科技發展,儲存裝置在容量及反鑑識(Anti-Forensics)科技不斷地成長。如磁碟加密,已經變得普遍取得且容易使用,而藉由網路的應用,線上和網路應用軟體的趨勢已經變得越來越普遍。

若以傳統的角度來看,實體記憶體的資料分析是被當做只能提供較少優勢,且必須花費相當的努力及有高風險。然而,因為科技的發展,著手在記憶體分析所得的潛在利益越來越高。因此,實體記憶體的使用將可掌握更具價值性證據的關鍵。

即時通訊的發展

即時通訊(Instant Messenging,IM)是一種線上通訊服務,可讓2人或是多人利用網際網路即時傳遞文字、語音、圖片、與影片等。與另一種聯絡方法E-mail相比,IM是更為快速和更加簡便的聯絡方法。

隨著網際網路快速及普及的發展,IM因為具備即時溝通、跨平台性、低成本以及可多方通訊等優點,使得IM成為現今不可或缺的溝通管道之一。

目前在網際網路上受歡迎的即時通訊服務包含Windows Live Messenger、AOL Instant Messenger、Yahoo! Messenger、Skype及Google Talk等。

即時通訊的誕生—ICQ

ICQ是最早的即時通訊軟體,雖然在這之前已經出現了好幾個在UNIX系統裡的即時通訊服務(如Talk和IRC),但ICQ是第一個在微軟Windows系統裡開始普遍使用的即時通訊軟體。

ICQ起源於以色列特拉維夫的Mirabils公司(成立於1996年7月),由幾個以色列青年Yair Goldfinger、Arik Vardi、Sefi Vigiser和Amnon Amir在1996年11月所發明的。

ICQ會受歡迎的原因,是因為它提供使用者可以發出邀請給他們的朋友,以便於彼此在線上聊天,而且ICQ可以在任何電腦主機上正常地執行運作,只要電腦具備連上網際網路的能力,即可與朋友聊天。ICQ就是英文「I SEEK YOU」的簡稱,意思為「我找你」。

Windows Live Messenger

Windows Live Messenger是微軟公司所推出的即時通訊軟體,在8.0版本之前,是被稱為MSN Messenger。Windows Live Messenger除了有基本的文字通訊外,並支援語音對談、視訊會議、檔案分享等豐富的延伸功能,造就了Windows Live Messenger成為最多人使用的即時通訊軟體之一。

Yahoo!奇摩即時通

Yahoo!奇摩即時通(Yahoo! Messenger)是由雅虎公司(Yahoo!)所開發的即時聊天工具,因為具備相當豐富的多媒體功能如資訊分享頻道、聊天情境、KUSO表情符號,加上Yahoo!奇摩是台灣最大的入口網站,學生族群對Yahoo!奇摩較為熟悉,因此以學生族群和年輕上班族使用居多

Skype

Skype是支援語音通訊的即時通訊軟體,該軟體採用P2P(Peer-to-Peer,點對點)技術與其他Skype用戶互相連接,可以進行通話及聊天功能。Skype雖然與其他即時通訊軟體許多功能雷同,但是它的主要功能卻是讓電腦前的用戶可以透過網際網路撥打電話聊天。

Skype不同於其他IM軟體,並非使用主從式架構來進行即時通訊,而是採用P2P技術與其他使用Skype用戶連結,也是第一個將IM和VoIP(Voice over IP)結合的通訊軟體,可進行免費的通話與聊天服務,當通訊雙方的連線品質穩定順暢時,它的音質甚至會比普通電話好。

網頁版即時通訊軟體

先前提到的即時通訊軟體,皆須在電腦主機端安裝軟體後才能進一步使用,而現已推向網頁版的即時通訊服務,可解決電腦主機端不方便安裝軟體,或是安裝的即時通訊軟體遇到程式錯誤或各種伺服器問題所造成無法順利上線的狀況。

例如,搜尋引擎Google已經推出的即時通Google Talk(簡稱GTalk),可以透過網頁介面來進行即時通訊。當登入使用Gmail網路服務,同時也能進行內建的GTalk即時通訊服務。

記憶體的資料佈局

在Windows系統裡,假如想要得到有關程序和執行緒的相關資訊,有三種可利用的來源,包括實體記憶體(The Physical Memory)、休眠檔(The Hibernation File)和分頁檔(Pagefile),而本文著重於實體記憶體的資料蒐集和進行記憶體鑑識分析。

實體記憶體在具有揮發性屬性的記憶體中絕對扮演最重要的角色。當電腦主機在運轉中必定會有若干執行的程式(Running Process)及執行的服務(Running Service)在背景裡執行,並且包含所有必要的摘要資訊(Meta-Information),例如eprocess和ethread結構。

而使用者在電腦上所操作的檔案、程式或是所開啟的文件,資料都會先暫存在記憶體的空間裡。因此,針對實體記憶體進行深層且完整地分析是有必要的。透過這樣的方法,可以收集到相當多有用的資訊。

記憶體資料的收集

對於記憶體鑑識的方式,已經有好幾種針對實體記憶體傾印的工具被發展出來。這些工具在細節操作上可能不同,但在理論上都是一樣的。所有的工具都是以達成可直接讀取實體記憶體為目標。

但是,這些工具不可避免地都會留下使用足跡,因為它們必須先被載入到實體記憶體,而這樣的操作步驟可能會覆蓋到實體記憶體。一旦這些工具被執行,將可能會覆寫正在執行,或是已經終止的處理行程和執行緒,而這將會影響到蒐集記憶體裡資料時的完整性。

win32dd是一種用在現行運轉中系統並產生dump檔案的工具。因為win32dd與Windows系統是高相容性的,而且最值得注意的功能是產生Microsoft的crash dump檔案,而毋須重開機或是做額外的設定,因此在目前可利用來產生完整記憶體dump檔案的技術工具中是最好的選擇。

考量到win32dd和Windows系統的相容性和較少的限制,並且遺留相當少的足跡殘留(footprints),也不會阻礙到調查人員進行較深入的鑑識調查。因此,這裡選擇win32dd當作產生dump檔案的工具。

案例說明

甲員於住處製毒並專門從事毒品販賣,遭人檢舉。當鑑識人員進入甲住處時,看見甲正在電腦前,使用MSN與人進行即時通訊,惟因未及時將甲控制住,致甲迅速地將即時通訊視窗關閉。

經進一步調查電腦時,發現甲所使用的電腦內未有安裝Windows Live Messenger即時通訊軟體,判斷甲可能使用網頁版的即時通訊。適逢甲之電腦主機仍在運轉中,因此即刻蒐集暫存於記憶體的資料,進行記憶體鑑識,以蒐集甲在電腦上可能犯罪活動的相關證據。

在進行一連串的實驗中,鑑識人員從網頁版Windows Live Messenger使用者端的dump檔案裡,蒐集到敏感性的資料。藉此得到使用者登入帳號與密碼、聯絡人名單和聯絡內容等資訊。此範例的鑑識作業步驟如下:

步驟一:進行記憶體傾印,將電腦中的揮發性記憶體製作成一個完整的映像檔

當第一線的鑑識人員將電腦關機後,再帶回來進行數位鑑識,如果電腦沒有設定將瀏覽器的帳號和密碼儲存,或是資料有未存檔的情況,那麼這些暫存於記憶體裡的所有資料都會隨著電源的關閉而消失。

再者,現有部分瀏覽器可以設定成「隱私瀏覽模式(In Private Browsing)」,這是一種保護個人隱私的瀏覽模式,當啟用此模式後再使用瀏覽器時,電腦上的網頁瀏覽器將不會留下如Cookies、暫存檔等的任何記錄。

因此,對付這種反鑑識的作法,最好是在現場時就進行記憶體傾印(Memory Dump),蒐集運轉中電腦主機裡的記憶體資訊,以便進一步分析暫存於記憶體裡的重要資訊。

本範例使用win32dd工具來進行記憶體傾印,而win32dd必須在DOS介面下運作,並在電腦主機C目錄下產生記憶體映像檔(Image File),如圖1?2所示。

▲圖1 以win32dd軟體進行記憶體複製。

▲圖2 完成產生記憶體映像檔。

步驟二:蒐集使用者登入的帳號與密碼

回復密碼檔具有相當高的價值性,並可看出使用者的特徵,因為使用者常會在其他的軟體或網路服務上使用相同的密碼。在某些特定使用的通訊科技中,密碼可以被用來取得額外的資訊。

例如,一些系統的網路介面帳戶資訊頁面提供存取的資訊,如語言信箱的訊息或聯絡歷史記錄,都無法以其他方式來獲得。

在本文實驗中,從記憶體映像檔內以關鍵字進行查詢,蒐集到的帳號是cdcca100@yahoo.com.tw,而密碼為paulsmith1220(圖3)。

▲圖3 使用者登入之帳號及密碼

步驟三:善用聯絡人清單

聯絡人清單是使用者認識其他朋友以及如何聯絡的細節所呈現出的資料。在Windows Live Messenger中,每個聯絡人列表的成員都是以E-mail來識別。

聯絡人清單資訊可以被調查者利用來調查使用者的社交網路及人際關係鏈的輪廓。在本文實驗中,從記憶體映像檔裡有蒐集到聯絡人清單裡的MSN帳號即為jack0120@hotmail.com(圖4)。

▲圖4 蒐集使用者聯絡人名單

步驟四:回復聯絡內容

聯絡內容包括了在兩個或多個聯絡人彼此間所傳遞聯絡的實際資料。回復聯絡內容可以提供調查者好幾種不同的資訊。

假如遠端的聯絡人或聯絡人群組可以被確認,然後聯絡的資訊就可以被推論出來,而且活動的細節和事情的來龍去脈也可以被確定,例如,有些事件可以查明是發生在某一特定時間(特定細節),或是某人執行一些特定活動。

回復聯絡內容也可以協助提供人際關係,可以藉此幫助調查者去定義在兩個聯絡者之間的人際關係,例如,他們是如何認識對方以及他們的關係有多密切。

在本文實驗中,從記憶體映像檔裡以關鍵字查詢方式,可以蒐集到使用者所使用通訊軟體的對談內容(圖5)。

▲圖5 聯絡人之間的聯絡內容。

由範例中,可以蒐集到甲在Windows Live Messenger所登入的帳號及密號。這讓我們可以透過甲的身分登入即時通訊服務,進而蒐集到更多的資訊,甚至可以在其他需要輸入帳戶及密碼驗證的網路服務(如E-mail或網路銀行)中使用相同的帳號及密碼。

例如,此範例所利用的帳號及密碼,也能推定甲在其他網路服務有類似的帳號及密碼,因而尋出更多關於甲的相關資料,進而掌握更多甲的相關犯罪事實。

另外,蒐集到甲在Windows Live Messenger的聯絡人清單,可以勾勒出甲的社交網路圈和聯絡人間的鏈結關係。蒐集到甲在Windows Live Messenger與其他聯絡人的聯絡內容,可以深入了解甲在網路上與他人的互動細節、關係背景、聯絡頻率等等,而這對於鑑識人員來說,是一個很重要的證據來源。

結語

現今數位年代的挑戰是相當複雜且眾多的。電腦和數位裝置被拿來當成犯罪活動的使用已無可避免,因此鑑識人員更需要完備的方法去收集、進行以及呈現儲存數位格式的證據。實體記憶體可以被拿來當作一個證據的來源。

相對於靜態的記憶體,電腦所使用的應用軟體或許可以只在靜態記憶體中留下些許蹤跡或是沒有任何證據,然在應用軟體運作時,資料在實體記憶體上是具有絕對的存留性。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!