智慧型手機在資料傳遞上具有多種的選擇性,但這樣的特性卻被不法人士用來竊取資料,並對其竊取行為進行反鑑識操作,進而增加鑑識工作上的困難。為此,本篇將利用記憶體跡證進行分析,找出經反鑑識後的相關數位跡證,得以還原事件真實狀況。
對鑑識程序的攻擊
進行智慧型手機鑑識時,鑑識人員會遇到許多困難,因為目前手機應用程式提供豐富的開放原始碼套件,如CyanogenMod模組,使得開發人員能夠對作業系統進行第三方應用程式開發,若被有心人士不當利用,則能被設計為手機版的反鑑識程式。
手機反鑑識程式除了能針對資料庫進行實體性的刪除與竄改外,另一項反鑑識功能,則是對鑑識程序的攻擊、阻礙或干擾鑑識程序的進行,其中的原理是利用增加鑑識工具跡證萃取的回應時間,讓鑑識工具產生錯誤訊息,導致鑑識程序中斷,如Cellebrite所產生的錯誤訊息,如圖5所示。
 |
| ▲圖5 Cellebrite所產生的錯誤訊息。 |
鑑識工具普遍具有低容錯、低延遲性質,假設鑑識工具對於一個資料表單萃取時間最多不能超過1.5秒,若一個惡意軟體將表單中每筆資料傳輸增加1.6秒,例如以填塞大量無效的字元方式,導致鑑識工具萃取時會超過最高容忍的萃取時間而產生錯誤訊息,使得鑑識程序無法進行。
手機中的惡意程式也可能修改App安裝程式的路徑,如果鑑識軟體已經預先設定好在手機安裝程序中的特定路徑,則會讓鑑識軟體無法正常安裝,進而導致鑑識軟體產生錯誤的訊息。另外,智慧型手機內的惡意軟體除了阻礙鑑識程序的進行外,也可能竄改手機中的資料庫內容,破壞數位證據的完整性。
面對智慧型手機端的反鑑識操作,鑑識人員採取的作法必須更有彈性,並對鑑識程序提供更多的障礙排除方案,例如進行資料萃取前先移除手機中的惡意程式,以便有效地取得數位證據。
以智慧型手機為資料竊取工具之鑑識方法
了解智慧型手機反鑑識技術後,接著介紹電腦端的鑑識工作,說明未經反鑑識以及反鑑識後萃取數位證據的鑑識方法。
未經反鑑識之鑑識方法
想從登錄檔中找出智慧型手機裝置資訊,步驟如下:
將登錄檔「\USBSTOR」目錄下的USB儲存裝置,以其子鍵值對「\USB」目錄內的USB裝置子鍵值進行比對,可找出相對應的USB裝置訊息,以得知智慧型手機的供應商編號與產品編號,如圖6所示。
 |
| ▲圖6 子鍵值比對找出供應商編號與產品編號。 |
當智慧型手機接上Windows作業系統時,系統自動指派的磁碟機代號可由「HKEY_LOCAL_MACHINE\System\ Mounted
Devices」目錄中找到,如圖7所示。
 |
| ▲圖7 找出Windows自動分配的磁碟機代號。 |
鑑識人員可以從日誌檔中取得曾經接到Windows作業系統之所有USB裝置的相關訊息,包含最後接到作業系統的時間,如圖8所示。
 |
| ▲圖8 找出USB裝置最後連上作業系統的時間。 |
分析由登錄檔與日誌檔取得的資訊,推測出機密資料是在何時被竊取,以及智慧型手機(竊取工具)相關資訊與產品編號等,進而掌握資安威脅發生的時間與工具,有助於鑑識人員還原現場。
經反鑑識後之鑑識方法
當非法者利用智慧型手機對電腦主機進行資料竊取時,可能利用USB傳輸線對電腦主機進行資料的傳輸連結,或者透過手機所提供的無線AP將資料上傳至雲端。
若非法者使用反鑑識工具對主機的登錄檔與日誌檔進行實體性刪除或資料竄改,則會使得登錄檔與日誌檔找不到相關跡證。如果非法者再將電腦與手機內的資料區塊進行實體抹除,則可能導致資料無法還原。
對此,當關鍵證據被非法者進行反鑑識之後,鑑識人員必須更彈性找出相對的解決方法,本文參考的解決方法是記憶體鑑識。記憶體存有使用者操作的相關指令與瀏覽資料,包括帳號密碼的輸入、使用者曾經瀏覽的網頁訊息,以及程式執行時需載入記憶體的相關內容等,這些珍貴的數位跡證能夠幫助鑑識人員獲取關鍵的證據或線索。
不過,它因具有揮發性特質,跡證較不容易保存,倘若發生系統當機或中斷,可能會讓記憶體中的數據資料流失。
對於如網咖、圖書館等一般公眾場所的電腦,電腦普遍裝有還原裝置,且使用者操作電腦的時間較為短暫,當非法者於電腦操作當下進行反鑑識行為時,則調查人員必須在電腦關機之前進行查扣,並即時地做記憶體取證。
因為電腦關機後會進行還原程序並且釋放記憶體空間,又因記憶體具揮發性,所以在證據的取證過程中,萃取的資料量會因取證的時間點有所不同。倘若能即時地掌握記憶體跡證,勢必能在證據的蒐集過程中有所收獲。
接著,將記憶體跡證的鑑識方法及其步驟歸納整理如下:
確認犯罪現場電腦設備保持當前的狀態。
鑑識人員利用工具對電腦執行記憶體萃取,如利用FTK Imager工具進行記憶體傾印,如圖9所示。
 |
| ▲圖9 利用FTK Imager做記憶體傾印。 |