電腦與智慧裝置的普及,使得數位犯罪持續攀升,迫使人們重新思考電腦鑑識的其他出路,從而將焦點移轉到揮發性資料,開始挖掘記憶體內的豐富證據。本文透過FTK Imager工具儲存揮發性記憶體內的資料,然後使用WinHex顯示所儲存的資料,完成蒐集使用者的帳密資訊。
知名的防毒軟體公司已經捕獲許多型態的惡意程式,且平均樣本數超過1,000萬種。如何通過政府立法有效防範數位裝置的不當使用、如何處理司法犯罪的問題,顯然是迫在眉睫的兩大議題。
此外,許多有關電子證據和法律專業的研究正在著手進行,這都讓電腦鑑識研究成為熱門的話題。
在傳統電腦鑑識裡,多數的涉案電腦在犯罪調查中是關閉的。因此,鑑識人員會使用隨插即用的裝置複製電腦硬碟資料,爾後針對映像檔進行事後的資料分析。然而,隨著電腦硬體的發展,高儲存容量記憶體受到廣泛的使用。此外,各種加密與反鑑識技術正悄然誕生,使得傳統的鑑識方式錯失許多重要的有效訊息。
電腦記憶體中的揮發性資料可能包含犯罪相關的關鍵資訊,例如加密使用的密碼、犯罪過程中的系統狀態、使用反鑑識工具的軌跡,以及與系統相關而容易遭到忽略的惡意軟體和後門資料等其他相關訊息,因此電腦安全專家和司法機構近年來更專注於揮發性資料的鑑識。
記憶體鑑識分析的焦點是,獲取有關犯罪的實體資訊。近年來,記憶體可以在鑑識分析的過程中,透過文本或關鍵字搜尋的方式進行解讀,分析人員已經可以從記憶體映像檔獲取實質有用的訊息。然而,為了更加了解系統環境運行的狀況和描述性資料的相關訊息,必須理解相關資料結構和背景的前提假設,不論涉及的是何種型態的數位證據,案件分析所面臨的主要困難,是決定如何從大量的合法資料隔離惡意程式碼,分析人員必須具備精確的資料關聯辨識能力,這在記憶體鑑識分析的過程中至關重要。
電腦與網路的使用,通常涉及帳號登入和密碼輸入,透過使用者帳號、密碼的辨認,可以對應到一系列的人為操作結果。然而,網路帳戶的登入行為,鮮少在系統設定檔(Registry)留下相關線索,於是本文借助記憶體鑑識方法,透過軟體工具進行記憶體的記憶體傾印(Memory Dump),並將製作完成的映像檔進行內容的搜尋分析。先利用FTK Imager製作映像檔,爾後使用WinHex顯示並進行關鍵字的推測、擬定,以完成使用者帳密資訊的蒐集。
相關背景知識說明
以下針對記憶體鑑識(Memory Forensics)做概論說明,接著介紹與其相關的軟體工具,最後為記憶體資料內容搜尋的探討。
記憶體鑑識
記憶體鑑識是一門新興的鑑識科學,有許多工具可以協助萃取記憶體資料,分析可疑的人為操作內容。然而,因為記憶體的揮發性本質,讓這項技術在過去並不被重視。記憶體鑑識不僅能提供運行程式、應用程序、密碼、登錄帳號以及隱藏資料等相關訊息,就連終止程序和快取程序也囊括其中。
即時記憶體分析(Live Memory Forensics)更有助於惡意軟體的軌跡分析,為了進行即時的記憶體資料萃取,第一步是執行記憶體的記憶體傾印,將用戶的使用內容保存下來,這對將來的系統崩潰(Crash Down)檢查極有助益。在記憶體鑑識過程中,同一時間點的分析、萃取行為會因使用不同工具的關係而對記憶體造成不同的影響,因此衍生出資料正確性的相關議題。
揮發性記憶體裡的資料是流動的,難以預測資料將在記憶體裡停留多長的時間。直觀上來說,有關行程與物件的描述性資料可於實體記憶體暫存14天之多,但是沒有文獻資料能夠予以相關佐證。
研究人員已於記憶體鑑識應用不同的技術,諸如記憶體映像檔萃取、記憶體分頁摘錄等,在另一項工作中,研究人員開發了反測量工具,並將工具包分類為核心、資料庫、應用三個不同的層面。亦有研究者提供與虛擬機器相關的檔案蒐集方法,透過機器學習演算法成功地處理犯罪相關資料。此外,更有研究人員將時間分析技術帶入Windows作業系統,進行數位鑑識的犯罪調查。然而,記憶體鑑識仍舊處於起步的階段,仍有許多優化技術於動態領域尚待發展。
記憶體鑑識之工具及技術
記憶體鑑識可以廣泛地分為記憶體萃取、分析獲取資料以及證據復原三類。
記憶體萃取
欲由運行中的記憶體蒐集記憶體映像檔,並非容易的任務,恰如名稱所示,所萃取的資料是來自運行中的記憶體,所以必須非常地小心,一個很簡單的記憶體釋放(De-Allocation),就可能觸發堆疊裡的資料碎片重組。針對Windows作業系統,網路上提供各種不同的工具和技術,用於萃取揮發性記憶體裡的資料內容,而所選用的工具為FTK Imager。