鑑識SkyDrive跡證 追查雲端儲存非法使用

何謂雲端鑑識

非法者利用雲端服務來製造實行非法行為的機會，例如在海外、在不同國家進行非法行為，都將影響鑑識人員及司法人員對證據的取證和調查。直接向雲端服務商取得數位證據並不是那麼的容易，而且會耗費相當多的時間，在這個過程中，數位證據就有被覆蓋或修改的可能。

因此，這裡將針對電腦端蒐集與比較三種雲端儲存服務的數位證據，利用電腦與雲端資料夾的同步及編輯過程，找到log檔、RAM檔及瀏覽紀錄等有關於雲端儲存服務的證據，克服無法直接向雲端服務供應商取得證據的情況。

透過此方式來證明使用者或非法者曾經使用過雲端儲存軟體，並進一步找出當使用智慧型手機Windows Phone 8存取雲端儲存服務時，會在電腦端留下哪些新證據，以及這些證據與非法行為的關聯。

雲端儲存軟體的數位跡證

當雲端儲存軟體安裝到電腦上時會產生相關的資料檔案，而鑑識人員要找尋有關的數位證據時，就可透過解析電腦中的雲端儲存軟體資料夾來進行分析。由於檔案傳到資料夾後即會與雲端進行同步，因此可以利用此特性及電腦鑑識基本程序，在記憶體及瀏覽紀錄下找尋重要的關鍵跡證。

接下來，將以SkyDrive進行完整的實驗結果呈現，而Dropbox和Google Drive也會進行相同的實驗，SkyDrive、Dropbox及Google Drive的結果將在最後做數位證據差異性的探討。

實驗方法說明

為了清楚界定證據蒐集的情況，將此次實驗分為三個方向，如表1所示：

1. 至雲端儲存服務的網站下載同步軟體，透過此同 步軟體產生在電腦端的資料夾，進行上傳檔案的動作，命名為「Upload」。

2. 至雲端儲存服務的網頁，透過網頁直接登入，在瀏 覽器上進行存取檔案的動作，命名為「Access」。

3. 為第二種實驗的延伸，除了在網頁端存取檔 案外，並將這些檔案下載至電腦裡，命名為「Download」。

第二種和第三種方向又可分為透過Mozilla Firefox（FF）及Google Chrome（GC）兩種瀏覽器登入。並將電腦端產生的證據分為Client Software Information產生的紀錄檔、Browser Information登錄的證據以及RAM Analysis隨取記憶體的證據、跡證來做說明。

表1 實驗方法

此外，也以Windows Phone 8存取雲端裡相同的檔案，然後檢視是否會在電腦端留下數位證據。Windows Phone 8為微軟所推出以Windows為作業系統的手機，採用與Windows 8相同的核心。其特色包括可以自由變更動態磚的大小及位置，利用Office365直接在手機上建立、編輯Office文件，並選擇要將文件儲存在手機或雲端上。

實驗結果呈現

以下說明與比較三種實驗方向：Upload、Access和Download，以及在SkyDrive於電腦裡的證據留存情況，並與Dropbox和Google Drive的留存情況進行差異比較，而Windows Phone 8對雲端檔案的修改，將會在RAM Analysis隨取記憶體的證據、跡證下作探討：

SkyDrive Client Software Information產生的紀錄檔
Upload安裝同步軟體後會在電腦端產生一個同步資料夾，資料夾的路徑為「C:\Users\[usersame]\SkyDrive」。而SkyDrive相關資料會存在路徑為「C:\Users\[usersame]\AppData\Local\Microsoft\SkyDrive」之下，如圖1所示。

▲圖1 SkyDrive相關資料路徑。

其中17.0.2006.3004為SkyDrive的版本，logs檔案夾裡面存在一個SyncDiagnostics.log檔案，裡面列出所有在SkyDrive的雲端和本地端檔案資訊，包括檔案大小、日期及時間，如圖2所示，而其檔案的日期及時間為UNIX格式，使用者可透過時間轉換找出實際的時間。

▲圖2 SyncDiagnostics.log檔案。

而4E2E9F3A273D1AC為使用者使用SkyDrive的Owner ID，此Owner ID也同樣存在於settings資料夾下的.dat和.ini檔案裡，可以證明為同一人所擁有，如圖3所示。

▲圖3 .dat與.ini檔案。

在微軟系統中，對於曾執行過的程式均會產生相對應的PF檔，因此可透過「.PF」檔檢查使用者是否曾經在電腦上執行SkyDrive，而產生的PF檔存放在「C:\WINDOWS\Prefetch」路徑下，如圖4所示，SkyDrive確實有在電腦上安裝和執行。

▲圖4 SkyDrive的Prefech檔案。