本篇將探討反鑑識的工具與使用手法,並歸納出對於反鑑識技術的鑑識萃取工具與方法,並透過一個有關Facebook社群網站之情境案例來說明相關數位證據調查,提供鑑識調查人員在遇到反鑑識手法的犯罪行為時,可用來執行鑑識調查方式的參考。
針對反鑑識之資料刪除的特性,歸納出對應的萃取方法如表2所示。在面臨資料的實體性刪除時,採取的對策應為記憶體跡證的萃取方式,或者如果使用者有使用雲端資料同步備份的習慣,亦可能於雲端備份的存取紀錄中找到。
圖6所示為雲端備份的存取紀錄,當中可以找到使用者於電腦中所抹除的資料,但是如果使用者不使用雲端備份,則無法以雲端備份跡證萃取方式找到相關證據。
表2 資料刪除之對應萃取方法
 |
| ▲圖6 Google雲端硬碟的存取內容。 |
由於資料抹除工具對硬碟內的資料做多次的覆蓋,所以還原不出數位證據的原始軌跡,但仍有機會透過記憶體跡證找出被抹除的數位跡證,以作為後續調查的作業,這裡以抹除jeff1234的文字檔為例,透過記憶體跡證採集工具從記憶體跡證中找到之相關軌跡,如圖7所示。
 |
| ▲圖7 從記憶體中找到被抹除特定檔案之動作。 |
另外,在遭受到隱私瀏覽模式的反鑑識手法時,可採取的鑑識對應策略亦為記憶體跡證的採集,以Chrome為例,分析網頁瀏覽器之各種瀏覽模式的證據殘跡,彙整如表3。
因此,對現場的反鑑識工具進行確切的分析,掌握反鑑識工具的特性及其在各種環境下的鑑識實驗分析,能夠正確且即時地歸納出對應的數位證據採集方式,並擬定反鑑識之數位鑑識方法,以做出正確的資料獲取。
表3 Chrome網頁瀏覽器之瀏覽活動跡證
對目前常用且免費的反鑑識工具而言,將會是非法者隨手可得的資源,也是執法人員所面臨的挑戰。然而,無論是資料的抹除,或是瀏覽器的隱私防護模式,皆只針對證據不被存留在硬碟上。
相對地,在記憶體內存有使用者操作的相關指令及瀏覽資料,如帳號密碼的輸入、使用者曾經瀏覽的網頁訊息以及程式執行時需載入記憶體的相關內容等,若將記憶體資料清除,可能會中斷目前的程式執行,導致不可預期的結果,例如系統當機或中斷,所以在電腦運行的過程中,記憶體內可能會存放一些特定的資料。
記憶體容量可分為2G、4G、8G至16G等,所儲存的資料較硬碟少許多,又因記憶體具揮發性,所以在證據的取證過程中會因為取證的時間點而有所不同。
倘若能即時地掌握記憶體跡證,勢必能夠在證據的蒐集過程中有所收獲,以下將記憶體跡證的鑑識方法及其步驟進行歸納整理:
1. 確認犯罪現場電腦設備保持於當前的狀態。
2. 鑑識人員利用工具對電腦執行記憶體萃取,如利用
FTK Imager工具做記憶體傾印,如圖8所示。
 |
| ▲圖8 利用FTK Imager做記憶體傾印。 |
3. 利用相關工具對所採集到的記憶體映像檔搜尋記憶
體內容,例如使用WinHex開啟Memory檔,如圖9所示。
 |
| ▲圖9 從WinHex中開啟Momory檔。 |
4. 最後利用關鍵字搜尋找出相關數位跡證,如使用者
可能瀏覽的網頁資訊等,如圖10所示。
 |
| ▲圖10 利用關鍵字搜尋從記憶體中找出netadmin.com相關網址。 |
在圖10當中,透過基本的關鍵字搜尋,可以從記憶體內找出使用者曾經瀏覽過的相關網址,透過進階的關鍵字搜尋如「search/results」,可找到嫌犯從Facebook網站中曾經搜尋的人物,如圖11所示。但是,在搜尋過程中,其資料量取決於記憶體的大小與傾印的時間點。
 |
| ▲圖11 記憶體跡證中的Facebook搜尋關鍵字。 |
有鑑於此,掌握反鑑識工具的特性,並採取有效的證據萃取作業,能夠讓鑑識人員找到可能的犯罪跡證,譬如在針對資料抹除的情況下,利用即時記憶體採證,仍有可能找出犯罪的交易紀錄與相關數位跡證,以供調查人員作為後續調查的線索。
情境案例分析
根據接獲的線報指出,有一FB社團疑似有販毒交易的訊息,經調查後,得知曾使用的網路來源為一家網咖,該網咖環境設施及其電腦的基本配備,包含軟硬體配備與監視器所在位置。因此,調查人員透過網咖監視器根據所使用的時間及台數鎖定犯罪嫌疑人小安,埋伏數日後於網咖進行逮捕。
經由鑑識人員勘驗,在小安被逮捕時,電腦為開機狀態且有一隨身碟放置一旁,並發現其所使用的電腦裝有資料抹除工具,將電腦映像檔及隨身碟帶回進行鑑識採證,鑑識人員初步對硬碟及隨身碟內容進行搜尋,雖然有關鍵字,但是內容不夠完整,所以查無所獲,研判犯罪過程及對話紀錄很可能已被行跡移除器軟體刪除。