將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/3/30

追溯隨身碟插拔記錄 Volume Serial Number成線索

檔案存USB裝置雖無Log 細察存取痕跡仍可鑑識

Pieces0310
科技逐日進步,行動裝置和電腦設備的使用,讓不法之徒有更多犯案的工具,唯有看穿證物背後代表的意涵,才能夠順利地掌握破案契機,本文將以實例說明數位鑑識時所需留意的細節以及必備之鍥而不捨的精神。






隨著電腦網路及智慧型行動裝置的蓬勃發展,使得犯罪型態相應產生了不小的變化,當傳統犯罪結合了電腦犯罪,成為複合型的犯罪型態,也使得執法單位所面臨的挑戰更加嚴峻。鑑識人員不僅要大膽假設小心求證之外,更要有足夠的經驗及判斷,才不會錯失重要關鍵破案線索,接著以案例來加以說明。

話說警方接獲線報,在一處僻靜山區的溫泉會館,傳出疑似槍枝擊發的聲響。警方抵達現場後,根據會館大廳和停車場的監視器錄影帶,循線查到名叫阿偉和阿強的男子涉有重嫌,並在阿強的身上搜出一把制式90手槍。

即刻展開調查

經訊問後案情輪廓漸漸浮現,阿偉坦承是他將這把制式90手槍(圖1)售予阿強,刻意選在僻靜的溫泉會館中交易,但因阿強在清槍時誤扣扳機,因而東窗事發。


▲圖1 找到一把制式90手槍。


至於這把槍枝的來源,阿偉辯稱是在山中的廢棄工廠中拾得,警方對此說法持高度懷疑,所幸在阿偉家中的電腦桌面發現了疑似槍枝交易的客戶名單以及案件資訊(圖2),最後,順利突破阿偉心防,供出幕後主使者為名叫阿良的男子。


▲圖2 找到疑似槍枝交易的客戶名單和案件資訊。


警方在阿良家中的地下室起出大批改造手槍、制式手槍、長槍,子彈以及改槍工具,簡直可說是一間地下兵工廠,主嫌阿良對於擁有這些槍枝坦承不諱,並表示阿偉是他手底下的業務員。

阿良供稱改槍的相關技能是結合軍中專長加上個人的興趣鑽研所習得,而售予阿強一把制式90手槍是他的第一筆生意,專案小組認為阿良仍有所保留,有待進一步釐清。數位鑑識小組在阿良家中進行現場蒐證,並將所扣得的筆電等證物帶回實驗室進行鑑識分析,以查明案情。

發現可疑的執行檔

鑑識人員以鑑識工具對相關證物進行鑑識分析,在阿良的筆電中發現大量與槍枝改造及槍枝販售相關的網頁瀏覽記錄,如圖3所示。


▲圖3 發現大量與槍枝改造及槍枝販售相關的網頁瀏覽記錄。


值得留意的是,在「我的文件」中發現了一個檔案,內容清楚地記載了案件編號、時間、單位名稱、承辦人、購買產品、數量以及相關案況描述等等,如圖4所示。


▲圖4 發現一個重要的檔案。


之所以引起鑑識人員的關注,主要是因為這份內容所具有的格式,不像是人工手動編輯所製作,倒比較像是由系統所產生的報表。因此,鑑識人員進一步查看阿良筆電中的程式執行痕跡,以了解是否有可疑的執行檔與案情有關。赫然發現一個名為「PILOT.EXE-906AA733.pf」的可疑prefetch檔,它所指向的執行檔pilot.exe位於「c:\pilot\」路徑之下,如圖5所示。


▲圖5 發現一個名為PILOT.EXE-906AA733.pf的可疑prefetch檔。


出現奇怪的錯誤訊息

欲查明這個程式是否與那些報表有所關連,就有必要進行動態分析加以驗證。但在點擊pilot.exe時卻發現無法執行,只出現了「Dongle not found」的錯誤訊息。

鑑識人員以為這可能是程式的Bug或是License已過期,應該與案情無關,但資深鑑識人員R靈機一動,憶及當時在阿偉家中除了扣得筆電外,尚有數個外接式USB儲存設備,立即領出以進行驗證。

關鍵內容浮現

鑑識人員R在逐一將阿良的USB隨身碟透過防寫設備接入後,在證物快照之中點擊pilot.exe,果然發現其中一支Lexar的USB隨身碟(圖6)可令系統順利執行。


▲圖6 可讓系統順利執行的USB隨身碟。


當將這支USB隨身碟插入後,執行pilot.exe時不會出現任何錯誤訊息,執行畫面如圖7所示,映入眼廉的赫然是「軍武銷售管理系統」。


▲圖7 執行成功後所顯示的畫面。


鑑識小組由此系統中查得大批槍枝交易記錄,根據銷售日期可得知阿良已經經營槍彈販售數年之久,警方立即針對槍枝流向展開追查(圖8)。


▲圖8 根據銷售日期得知阿良已販售槍械多年。


另一方面,警方認為如此的一個企業化經營手法和規模,應非阿良一人能獨力為之,合理懷疑應還有同夥共同犯案。根據在系統中所查得的業務代號和中英文姓名(圖9),比對自阿良手機中所擷取出的LINE聊天記錄內容,順利掌握這些業務員的身分並約談到案,相關涉案人員皆坦承不諱。


▲圖9 查得業務代號和中英文姓名。


案中有案 繼續追查

案件偵辨至此,專案小組成員咸認為告一段落,不但破獲軍火販售集團,並且循線追查槍枝流向,查出先前數個案件與此案的相關人員及槍枝有所關連,可謂是連破數案,成果豐碩。但鑑識人員R深入檢視證物及鑑識分析的相關發現,覺得此案尚有未盡之處,當面對此一企業化經營的犯罪組識,看到他們所使用的電腦設備及ERP系統,背後所代表的意涵便是「專業」。但問題來了,這套軍武銷售管理系統是打哪來的呢?

從客觀角度分析,在阿良的筆電中發現這套系統的存在,並有頻繁的執行痕跡,但市面上未曾聽過見過,且亦不可能真有這麼一套系統在販售。而阿良本身精通改槍,但並不具備軟體研發能力,不可能是阿良個人研發而成。因此,有必要追查的是,這套系統是哪來的?是何人或何團隊所開發?與阿良為首的犯罪集團又有何關連?

 
12
這篇文章讓你覺得滿意不滿意
送出
相關文章
依循數位證據處理規範 實戰熱門通訊App蒐證
萃取iPhone定位資訊紀錄 還原行動軌跡呈現地圖
安碁資訊成為國內唯一Security Operation Center自建數位鑑識中心
鑑識手機筆記協同軟體 萃取Evernote跡證
國際公信力XRY鑑識工具 實體萃取手機內藏資料
回應
qqq
於 2017/5/11 09:34 回應
Pieces0310老师,您好,我们是一个电子冤案的受害者,可否请问您的电邮地址?
留言
顯示暱稱:
留言內容:
送出