從URL編碼還原網路使用證據

表4 Google Chrome紀錄檔案預設路徑

▲圖6 在Chrome瀏覽器內鍵入關鍵字搜尋。

由此可以發現，各個瀏覽器都有屬於自己的編碼方式，從IE、Firefox及Google Chrome所顯示的URL搜尋字串及參數資料可以觀察得到，在Firefox中甚至以中文明碼顯示。

但這是瀏覽器所顯示的URL編碼，並非遠端伺服器所了解的，所以當瀏覽器傳送查詢字串時，仍會轉換成16進位編碼，如本例中的「毒品」。

案例說明

甲君為破獲台灣北部販毒集團於供毒名單中的一員，由於線索明確，執法單位人員遂往甲君的住處逕行搜索。

在甲君的住處並沒有發現有關的毒品，但是卻發現數量極多的感冒藥、化學器材以及一台電腦，這引起了注意，因感冒藥可用來提煉安非他命。安非他命屬於中樞神經興奮劑，吸食之後會產生幻覺，屬於第二級毒品。

於是，質問甲君為何購買數量極多的感冒藥並有其他化學器材，但甲君卻宣稱單純對感冒藥成份有興趣，所以購買化學器材進行研究，並無製毒意圖，更沒有能力製毒。在無直接證據情況下，對於甲君住處內感冒藥、化學器材及電腦於以查扣，而扣押的電腦交由鑑識人員進行鑑識。

鑑識人員在甲君所使用的電腦硬碟進行初步分析，並未發現有關毒品製造的文檔資料，轉而朝網路紀錄著手，察看其上網紀錄。

甲君所使用的瀏覽器為Google Chrome，於是鑑識人員便透過鑑識工具ChromeAnalysis Plus將甲君的網路紀錄萃取出，並進行分析，以下為鑑識取證的過程：

步驟一：將甲君的硬碟做位元串流拷貝
首先，鑑識人員利用位元串流拷貝（Bit Stream Copy）技術將硬碟進行完整備份，目的是為了避免人員存取到硬碟，影響到數位證據的完整性。

步驟二：開啟ChromeAnalysis Plus並載入Google Chrome紀錄檔
開啟Chrome Analysis後，新建一個案例並將要萃取的網路紀錄路徑指向「C:\Users\<使用者名稱>\AppData\Local\Google\Chrome\User Data\Default」，如圖7所示，而圖8為甲君的上網紀錄。

▲圖7 讀取Chrome紀錄檔。

▲圖8 甲君的網路紀錄。

從Chrome Analysis plus中所顯示的紀錄可以了解甲君的上網習慣，例如搜尋字串、上網時間、次數及最常瀏覽的網站等。從網路紀錄中發現，甲君有每天上網的習慣，並會利用Google搜尋引擎查詢資訊。

此外，鑑識人員也察覺到甲君網路紀錄的存取時間呈現出異常的狀況，從查獲販毒集團前兩個禮拜時間後開始便無記錄，因此懷疑部分網路紀錄可能已遭刪除，因此嘗試以FTK Imager進行Logical Drive萃取。鑑識結果發現有幾項以透過Google搜尋片斷的URL碼（圖9）。

▲圖9 片斷的搜尋字串URL碼。

從圖9中可觀察出，甲君使用Google搜尋引擎來進行資料的蒐集，URL為「http://www.google.com/webhp?source=search_app#hl=zhTW&site=webhp&source=hp&q=%E5%AE%89%E9%9D%9E%E4%BB%96%E5%91%BD」，變數q後的參數為搜尋字串，但因編碼問題造成字串顯示為「%E5%AE%89%E9%9D%9E%E4%BB%96%E5%91%BD」的亂碼。

鑑識人員將此段URL碼輸入反編碼的編輯器內，獲得「安非他命」的文字，如圖10所示。接著，其他搜尋字串URL經反編碼後得到「安非他命的化學元素」、「安非他命製造器材」以及「感冒藥提煉」等文字字串，這些資訊顯示甲君男利用網路搜尋安非他命的化學組成，並獲取感冒藥提煉安排他命的方法。由於這些數位證據，使得甲君所宣稱無製毒意圖和能力的證詞出現矛盾，甲君涉及製毒的可能性非常高。

▲圖10 反編碼後得到「安非他命」。

結語

非英語系國家所使用的文字（非ASCII），在輸入搜尋引擎後會因編碼關係而造成亂碼，使得鑑識人員不易辨識搜尋字串。此案例中，雖然網路紀錄的URL亂碼利用鑑識工具成功地將搜尋字串還原，但必須思考的是，鑑識工具無法支援每一種瀏覽器，遇到此種情形時，將對鑑識人員造成莫大的困擾。

瀏覽器都有屬於各自的編碼方式，並無一定規範，但卻有一定的規則，例如各參數執行、字串的編碼及位元組以「%」符號作區隔，透過此規則，可以從網路紀錄中擷取片斷的URL資料，再經過URL反編碼轉譯還原字串。

如本例中，鑑識人員利用FTK Imager進行Logical Drive萃取片斷的URL搜尋字串，再執行反編碼。因此，鑑識人員在進行網路紀錄分析時，需考慮編碼問題，方不至於漏掉內含重要訊息的數位證據。