科技逐日進步,行動裝置和電腦設備的使用,讓不法之徒有更多犯案的工具,唯有看穿證物背後代表的意涵,才能夠順利地掌握破案契機,本文將以實例說明數位鑑識時所需留意的細節以及必備之鍥而不捨的精神。
重大發現讓案情明朗
鑑識人員R持續檢視此一名為「pilot」的ERP系統,在其子系統庫存管理系統之中,發現了「版本版權」(圖10),當中出現疑似程式開發人員的大頭照,雖然經過像是魔漫相機之類App的處理,但仍可清楚辨識其五官,而右方的宣告資訊更大剌剌留下一個名字,研判即是該名程式設計人員在版權宣告之中加注其姓名所致。
 |
| ▲圖10 發現「版本版權」說明。 |
案中有案 繼續追查
警方在出示上述物證後順利突破阿良心防,阿良供稱這套系統是委託一位程式設計師Brian所開發的,他並不認識Brian,是透過一位軍中同袍牽線促成合作。警方循線找到Brian,發現他是任職於某知名軟體資訊公司的開發人員,但Brian矢口否認他與此案有任何關連。
警方在Brian住處扣得筆電及相關證物進行鑑識分析,以釐清Brian涉案程度。鑑識小組在經過一番鑑識分析之後,初步發現有大量程式碼及SA文件儲存在Brian的筆電之中,但未發現與阿良筆電中的軍武販售管理系統有明顯相關之處,案情一度陷入膠著。
掌握關鍵線索
鑑識人員R清楚該Lexar USB隨身碟即是關鍵所在,透過這支USB隨身碟必然可以查出與系統開發者的關連性。由於該Lexar USB隨身碟即是該軍武銷售管理系統的License控管設備,若Brian確為該系統的開發人員,那在Brian筆電之中勢必存在該支Lexar USB隨身碟的插拔記錄才是。
鑑識人員R檢視自Brian筆電中所擷取出的USB使用痕跡,果然找到一筆與該支Lexar USB隨身碟的pid(Product ID)、vid(Vendor ID)、Serial Number相符的記錄,如圖11所示。
 |
| ▲圖11 找到與Lexar USB隨身碟相符的記錄。 |
進一步查看Brian筆電中的檔案存取痕跡,發現有一個名為「dongle.lic.lnk」的檔案存取痕跡,是指向本機磁碟以外的磁碟代號F:,裝置型態為Removeable,且記錄了當時該USB設備的Volume Name為「DONGLE」,及Volume Serial Number為「52EB-4DF3」,如圖12所示。
 |
| ▲圖12 查看dongle.lic.lnk檔案存取痕跡。 |
經與阿良的這支Lexar USB隨身碟的相關資訊進行比對,結果為完全相符,如圖13所示。
 |
| ▲圖13 比對結果完全相符。 |
終於真相大白
案情至此已完全明朗,Brian在將該軍武銷售管理系統出貨給阿良之前,為達到控管使用者授權的目的,將控管授權的License檔dongle.lic放進該Lexar USB隨身碟,並點擊存取License檔案內容,因此才在Brian自己的筆電中留下USB插拔記錄,以及指向位於F槽的dongle.lic檔案存取痕跡。
除非對此USB隨身碟進行格式化,不然這個Volume Serial Number是不會改變的。而由於這支Lexar USB隨身碟是控管系統能否順利運行的Key,阿良自是不可能任意將其格式化。
另外,鑑識人員R亦在Brian的筆電中發現D槽下有個名為「License file」的資料夾,其中有一個名為「dongle.lic」的檔案(圖14),與該Lexar USB隨身碟中的檔案「dongle.lic」進行比對,具有完全相同的內容。根據檔案時間屬性,可得知此即為Brian保留在自己電腦中的備份,以備不時之需。
 |
| ▲圖14 找到同名且內容一致的dongle.lic檔案。 |
警方向Brian出示相關物證,Brian坦承由於禁不起高報酬的利誘,答應為阿良開發軍武銷售管理系統,但並未加入該犯罪集團。鑑識人員R認為Brian有避重就輕之嫌,懷疑Brian販售牟利的程式可能與所任職公司研發的成果有所關連,因此與Brian所任職的單位進行聯繫,以進行相關程式碼的比對。
比對結果發現,雖然在程式操作介面上稍有不同,但在引用的函式及命名空間(Naming Space)等方面,有很高的相似度,此時公司高層也懷疑Brian竊取公司研發成果,決定要對Brian提出告訴。Brian眼看無從抵賴,只好全盤供出。
Brian表示在任職該知名軟體公司期間,因公司在USB儲存設備的控管上較為鬆散,甚至還可以將私人筆電帶至公司使用。且由於在Windows作業系統上將檔案或資料夾複製至USB儲存設備時,並不會留下任何操作記錄或日誌,因此Brian便萌生歹意,將大量的專案程式碼透過USB設備存放在自己的筆電內。當日後生意上門時,Brian為趕在到期日前交貨,僅需修改操作介面,再加入客戶所要求的客製化功能即可販售牟利。
而為了永續經營及利於控管,Brian還啟用了控管License的Dongle機制,將所產生的License檔存放在Dongle之中,以Dongle來控管License的使用授權和使用期限,無需擔心客戶將系統複製分享給其他人使用。且屆時License到期,還可以再向客戶收取續約費用。也多虧了Brian如此專業及費心,採用了Dongle控管機制,一支USB隨身碟便成了此案能夠順利找到線索的關鍵。
結語
「人生如戲,戲如人生」,真實世界的複雜程度往往不下於戲劇裡的情節。鑑識人員憑藉豐富的社會歷練及專業知識,便可以由錯綜複雜的微物跡證之中看出仍有待釐清之處,追根究柢順利查出槍枝走私販售的案外案,還原犯罪事實及手法,讓竊取公司營業秘密,並私下販售牟利的程式設計師無所遁形。
<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>