從記憶體鑑識取證臉書線索

Facebook發展至今已不再是一般的社群網路服務站，它結合了許多方便的功能，本篇文章將一些熱門的功能整理成一個表格方便理解，如表1所示。

表1 Facebook網站功能

不像非常流行的即時通應用程式Skype，Facebook需要使用者登錄E-mail用來辨識。反過來說，Skype要求使用者先申請一個Skype帳號，而且還要安裝軟體才能在用戶端正常執行。

在某些情況下，這些安裝程式會在檔案目錄或是Registry留下數位痕跡，這與Facebook完全不同。Facebook使用者只要在Facebook伺服器上註冊，不需要安裝程序，也不會像Skype一樣留下數位痕跡，因此本文從電腦中的揮發性記憶體中找到些許殘存證據，證明使用者剛剛執行Facebook的動作及行為。

Facebook鑑識

雖然Facebook所提供的網路安全機制似乎無法提供鑑識的線索，然而由於Facebook傳送資料前仍須經由記憶體進行訊息的接收與讀取，故經由記憶體的鑑識便能取得有利的數位證據。相關說明，討論如下：

Facebook記憶體鑑識實驗

對於記憶體鑑識的方式，已經有好幾種針對實體記憶體傾印的工具被發展出來。這些工具在細節操作上雖大多不同，但在理論上都是相同的。所有的工具都以達成可以直接讀取實體記憶體為目標。

本次實驗所使用的MANDIANT是一個免費軟體， 可以在網路上免費下載（http://www.mandiant.com/products/free_software）。使用時可分為以下幾個細部功能：

• 1. MemoryDD.bat主要用途是將電腦中的揮發性記憶體做成一個完整大小的映像檔（Image File）。
  
• 2. Process.bat可列出電腦執行中的程式、啟動時間及路徑。
  
• 3. DriverSearch.bat可列出電腦目前載入那些SYS檔，以利於鑑識人員判讀。
  
• 4. HookDetection.bat可列出作業系統中目前有那些hooks檔正在執行。

而MadEdit是一款跨平台的編輯器，可運行於Linux、Windows系統，可對十六進制進行編輯，是一款FOSS（Free or Open Source Software，免費或開源軟體）軟體。

接下來，會以範例介紹如何運用MemoryDD.bat和MadEdit系統去讀取電腦裡Facebook存放在記憶體中的通訊內容，這對調查嫌疑人的相關證據相當有幫助。

範例演練

A君是進行詐騙犯罪的慣犯，而B君和C君是熟識的朋友，並且在Facebook上也互為好友。A君在Facebook建立一個帳號，利用B君在網路上分享的資料與照片，盜用B君的身分，在Facebook上與C君成為朋友關係，並透過C君所公布的Facebook塗鴉牆、個人訊息、照片內容等相關資料，了解C君的生活與動態、B君與C君的關係。

後來，A君的帳號以手機損壞無法使用且有急需為由，透過即時訊息功能，請C君協助購買網路遊戲點數，代收網路遊戲認證碼簡訊，並請C君告知認證碼，該帳號在獲取認證碼後即失去聯絡，C君在收到手機帳單，並向朋友B君詳加查證後，始知已遭到歹徒詐騙，及B君的身分被人盜用。

經由鑑識人員積極追查到A君的電腦，但A君矢口否認使用該Facebook帳號，此時，該如何證明A君確實使用過該帳號，為鑑識人員須提出證明並努力的方向。

在以下的章節中，將介紹鑑識人員如何從Facebook使用者端的記憶體中取出敏感性的資料。鑑識人員可藉此得到使用者登入帳號ID及帳號與密碼等資訊，以作為A君犯罪的證據或是往後追查的線索。

以下就是鑑識取證的步驟：

步驟一：將電腦中的揮發性記憶體製作或完整的映像檔
暫存於記憶體裡的所有資料，很有可能有嫌疑犯A君的犯罪證據。若第一線的鑑識人員打算將電腦關機，再將其帶回進行數位鑑識，暫存於記憶體裡的所有資料都會隨著電源的關閉而消失，這樣的話，就錯失了取得證據的最好時機。

要了解掌握取證的時機，在現場時就可以進行記憶體傾印（Memory Dump）來蒐集運轉中電腦主機裡的記憶體資訊，以便進一步分析暫存於記憶體裡的資訊。

MemoryDD.bat是可用來進行記憶體傾印的工具。MemoryDD.bat進行傾印（Memory Dump）時，會在DOS介面下自動進行，並在該安裝好的資料夾內新增一個資料夾，且產生記憶體映像檔。在圖1中，鑑識人員執行MemoryDD.bat完成後，就會如圖2所示，在MANDIANT資料夾下產生一個記憶體的映像檔。

▲圖1 以MemoryDD.bat進行記憶體傾印。

▲圖2 完成產生記憶體映像檔。