數位鑑識 個人隱私 社群 加密 安全

還原社群通訊鑑識跡證 追查營業秘密資料外洩案

2016-07-20
保障個人隱私的意識逐漸抬頭,新式的行動裝置和軟體逐步強化自身的安全防護,因此想要從中鑑識分析來獲得犯罪跡證也越來越困難,但若改從目標對象的社群網絡關係來尋求突破點,則可能會有意想不到的收穫。
破案線索初露曙光

正當鑑識團隊氣氛低迷之際,鑑識人員R不放棄任何一線希望,對阿威的個人筆電和隨身碟展開鑑識分析工作。R發現阿威的筆電裡的內容乾淨地出奇,像是特意整理過一樣。

但有兩項跡證引起了R的注意,首先第一個跡證就是Prefetch中的LINE執行痕跡(圖4)。R的精神為之一振,心知雖然電腦版的LINE並不會在本機中儲存聊天訊息,但仍可由Pagefile或Unallocate Space查找聊天訊息內容。


▲圖4 LINE的執行痕跡。

另外第二項跡證是,R也發現阿威的隨身碟似乎無法存取,會出現如圖5和圖6所示的錯誤訊息。


▲圖5 需格式化才能使用。

▲圖6 檔案系統無法辨識。

阿威宣稱該隨身碟已經故障很久了,他正想用軟體修復看看。但R從阿威眼神中所透出的一絲不安,研判這支隨身碟大有玄機。經以專業鑑識設備進行檢視,檢視結果如圖7所示,似為加密磁區,因而無法辨識任何內容。


▲圖7 磁區內容有加密無法辨識。

再對照Prefetch跡證中所找到的TrueCrypt執行痕跡(圖8),R已了然於胸,這TrueCrypt乃是用來進行加密的軟體,研判無法直接檢視該支隨身碟內容的緣故,應該就是阿威以TrueCrypt進行加密磁區製作所致,必須進行破密方可一探究竟。


▲圖8 TrueCrypt加密軟體執行痕跡。

找到重要線索

接下來,R開始對現場鑑識時所取得的記憶體傾印檔以及阿威筆電中的硬碟進行分析,果然在記憶體傾印檔、Pagefile、Unallocate Space之中發現許多跡證。

這些跡證包括曾瀏覽過的網頁的圖片(圖9)以及LINE的聊天訊息和傳送內容(圖10~11)。


▲圖9 瀏覽網頁於Pagefile所殘留的痕跡。

▲圖10 LINE聊天訊息內容1。

▲圖11 LINE聊天訊息內容2。

甚至,還包括WeChat ID及綁定的E-mail地址、電話號碼等資訊(圖12)。


▲圖12 WeChat ID及綁定的E-mail與電話號碼。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!