無痕瀏覽與可攜式瀏覽的新型態使用方式近來相當普及,但由於網頁瀏覽器鑑識是數位鑑識中非常重要的一部分,因此鑑識人員必定會面臨極大的挑戰,對此,本文針對可攜式瀏覽器進行跡證萃取的研究,以期解決鑑識人員面對這兩種瀏覽狀態時的困境。
為了其完整性,這裡必須提到某些關鍵字是在無痕瀏覽模式硬碟映像檔中的未分配磁區找到的,但經過進一步的測試後才發現,原來這些關鍵字是由無關的字典所產生的,所以應該要剔除。
實際案例演練說明
隨著網路日漸普及,使用者對網路越來越依賴。詐騙集團也由早期的電話詐騙演變至利用網路的各項服務對使用者進行詐騙。近期,許多使用者的電子信箱被詐騙盜取密碼後遭到更改密碼。
這些帳號也在拍賣上進行下標及使用,以保存信用卡資訊進行商品購買等行為,使得許多人蒙受大筆金錢損失,並且遭到網站管理員停用帳號,相關信件如圖11所示。多名使用者進行報案動作並提供相關帳號,請求調查人員幫忙,調查人員追查IP,發現IP位於甲君住處,並入內搜索。
 |
| ▲圖11 受害的使用者帳號遭受停權。 |
調查人員至現場時,甲君電腦為關閉狀態且有一隨身碟置放在一旁,因此將電腦映像檔及隨身碟帶回,供鑑識人員進行鑑識採證。鑑識人員初步對硬碟內容進行搜尋時雖然有相關關鍵字,但內容不夠完整,因此沒有太大的收穫。
由於此個案為網路服務的詐騙犯罪,接著鑑識人員朝網頁瀏覽器鑑識的方向進行可能的數位跡證殘留調查,並且懷疑甲君住處中隨身碟有相關跡證,因此鑑識人員利用下列步驟進行網頁瀏覽器的證據採集:
- 1. 為了取得隨身碟中的所有跡證,利用鑑識軟體
Encase檢視隨身碟內的檔案,並查看是否有被刪除的資料。
- 2. 利用Encase載入隨身碟後,從被刪除的檔案進行還
原並查看內容,以及利用受害者的帳號為關鍵字來搜尋相關檔案。
- 3. 除了搜尋關鍵字外,也檢查隨身碟內是否有一個
Google Chrome Portable資料夾,若有此資料夾存在,即表示非法者可能利用可攜式瀏覽器。Google Chrome Portable資料夾中會存有如瀏覽紀錄、Cookies等資訊。
- 4. 利用上述步驟1~3可發現瀏覽紀錄的相關檔案,證
實甲君確實使用了多個受害使用者的帳號進行購物,以及存有相關購物網站的瀏覽紀錄。
步驟1到步驟4以及確定甲君犯行的相關跡證,如圖12所示。
 |
| ▲圖12 從甲君隨身碟中找尋到受害者的信箱帳號。 |
結語
從實驗看來,雖然可攜式網路瀏覽器所留下的跡證較少,但鑑識人員只要檢查過瀏覽器歷史紀錄的原儲存位置,若發現紀錄過少或者根本沒有,就可以合理懷疑使用者曾使用無痕瀏覽功能或是可攜式瀏覽器。藉此,讓網路服務媒介的瀏覽器在有非法情事發生時,掌握到更多數位證據來作為鑑識報告的有利依據。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>