本文將講述某個數位鑑識的案例,當面對一椿可疑的毒品走私案及一連串莫名難解的密文時,倘若所有昂貴的破密設備與軟體均派不用場,鑑識人員該如何抽絲剝繭才能成功破解歹徒的犯罪手法。
話說警方接獲友國情資,聖誕節之後將有一批毒品於西部某漁港上岸,負責接頭的嫌疑犯叫阿森,因此警方對阿森展開跟監行動,試圖掌握相關案情。
由於情資中指稱該批毒品的數量與金額十分龐大,絕非阿森一人可獨力處理,警方懷疑是集團勢力於背後運作。
在跟監數日之後,阿森發現有異狀而開車衝撞警方,之後在高速公路被警車攔截後帶回偵訊。
發現奇怪的聊天內容
檢察官率隊至阿森家中搜查,將阿森個人電腦等相關證物帶回,並送往鑑識分析。
鑑識人員將阿森的原始證物硬碟卸下,以Forensic Duplicator進行證物映像檔製作,同時亦以手機取證設備對阿森的智慧型手機進行擷取(Extraction),完成之後便可以證物映像檔及擷取出的跡證進行相關分析工作。
另一方面,阿森在偵訊時表現沈著冷靜,嘴角露出一抹不經意的微笑,似乎胸有成竹深信警方絕對查不到任何對他不利的證據。
鑑識人員在經過初步分析之後,未能在阿森的個人電腦及智慧型手機中找到任何與案情相關的跡證,僅有在聊天訊息中發現有些聊天內容為密文(圖1),但未能得知其所代表的意涵。
 |
| ▲圖1 聊天訊息中有密文。 |
在罪證不足的情況下,檢方只能眼睜睜見阿森交保離去。
找到內容怪異的郵件與檔案
鑑識人員鍥而不捨仔細檢視證物映像檔及從智慧型手機中所擷取的相關跡證,如圖2所示,阿森的郵件帳號為sam@zer0day.com,經查該郵件伺服器位於境外。
 |
| ▲圖2 查看郵件帳號設定。 |
而在收件匣中發現不少主旨與內容均十分怪異的郵件,均來自同一個domain- zer0day.com,如圖3所示。
 |
| ▲圖3 出現怪異的郵件內容。 |
此外,在寄件備份中亦可見到阿森的回覆內容,乍看之下似為加密過的訊息。不僅如此,檢視證物映像檔中的部分Word檔內容,發現也有與郵件中所見到的相同怪異內容,如圖4所示。
 |
| ▲圖4 發現怪異的檔案內容。 |