鑑識人員除了要盡其可能地透過鑑識步驟將儲存於使用者電腦內的數位跡證進行萃取工作外,另一重要的議題是如何從蒐集的資料中找尋關鍵證據讓事件還原。對此,本文將介紹Google關鍵字搜尋的鑑識方法,利用ChromeAnalysis Plus鑑識軟體萃取相關數位證據,若有非法人士利用網路進行違法活動,即可判斷使用者有無進行非法活動。
自動填入表單
有些網站會要求使用者填寫表格,假如每次進入該網站都要重新填寫,既浪費時間且會影響使用網路的效率,所以瀏覽器會將使用者所填寫的表單內容進行儲存,當下次遇到相同表單須填寫時,網站便從紀錄檔自動載入表單內容,節省時間,例如網頁要求使用者輸入姓名、電話、地址等身分資料,下次需要再填寫時就會自動載入。同理,非法人士於網路上所填寫的表格內容同樣會被記錄於自動填入表單中,分析其中的內容便可獲取非法人士於網頁表格中所輸入的文字,從中掌握當事者身分或聯絡資訊。
暫存檔
當使用者從網站上存取圖片、影片、Flash動畫等檔案時,瀏覽器會同時下載存放這些網路檔案。而當使用者下回再次讀取相同檔案時,瀏覽器會先從暫存區讀取暫存檔,而非重新從網路存取下載,這樣做目的是為了加速顯示網頁內容,從檔案就能夠初步判斷使用者經常瀏覽何種網站類型,例如暫存檔中有電玩人物的圖檔或動畫,則可推測使用者可能有玩電玩的習慣或興趣。
網頁紀錄檔
網頁紀錄檔記載著使用者瀏覽網路時執行什麼程序、使用哪些應用服務,例如使用者造訪的網頁、搜尋的內容及存取的檔案,其紀錄檔的內容是豐富的,而紀錄檔內的資訊能幫助鑑識人員了解使用者的網路習慣,包括造訪頻率最高的網頁、曾經下載哪些檔案及存取時間,這些紀錄即是使用者瀏覽網頁的數位證據。
ChromeAnalysis Plus鑑識工具
Google Chrome於2008年推出,為Google自行研發的網頁瀏覽器,強調穩定、速度、安全性,在提供如此優秀的瀏覽服務下,2011年市占率達20%,顯示使用人數快速增加。Google Chrome使用BSD授權的軟體原始碼所撰寫,並採用自家研發的V8引擎來加快解譯JavaScript的速度。而ChromeAnalysis Plus(圖3)由英國Foxton Software公司研發,是針對Google Chrome所研發的鑑識軟體,其功能如下所列:
 |
| ▲圖3 ChromeAnalysis Plus的鑑識功能。 |
1. 萃取書籤、Cookies、下載清單、圖標、造訪過的網頁、搜尋項目、登錄檔、網頁紀錄等。
2. 時間軸呈現網頁歷史紀錄。
3. 過濾資料及排序功能。
4. 儲存及載入專案資料。
5. 支援Google Chrome 1-16版本。
Google網頁紀錄的鑑識分析
關於Google網頁紀錄的鑑識分析,先從Google服務架構談起,然後說明如何辨析Google Chrome紀錄檔案。
Google服務架構簡介
Google搜尋引擎內有一項人性化的設計——智慧搜尋提示,能夠讓使用者搜尋到最符合自己需求的資訊,做法是將使用者所輸入的關鍵字與查詢網頁儲存至伺服器,等到下次使用者再次利用Google搜尋引擎時,Google的智慧搜尋提示會讀取使用者先前的搜尋紀錄,將與使用者最相關的關鍵字優先列出,其次才是Google的普通搜尋清單,如圖4所示。
 |
| ▲圖4 Google智慧自動搜尋提示。 |
Google設計此搜尋方法,主要是考量資料的重要性對每一個人是不同的,使用者覺得重要的東西,對其他人而言可能不重要,重要性因人而異,所以搜尋列中前兩項會列出以往使用者曾經輸入過的關鍵字,而非大眾搜尋次數高的關鍵字。
而Google智慧搜尋提示的設計內涵包括三個重要元素:Google Web History、Google Authentication與Google Cookies,其運作概念是由Google Authentication認證使用者身分,經確認後,Google Cookies便會儲存使用者搜尋資訊,而這些搜尋資訊再透過Google Web History來呈現歷史紀錄,從中了解使用者的搜尋動作。以下介紹Google Web History、Google Autehtication及Google Cookies的相關內容。
Google Web History
Chrome瀏覽器的網路紀錄以不同的檔案格式儲存在使用者的電腦中,例如SQLite、圖檔。基於個人隱私及在保護個人資訊或系統安全措施下,電腦中的瀏覽紀錄可以由使用者手動刪除,或是透過瀏覽器清除瀏覽紀錄內建功能來清除。不過,瀏覽紀錄不單單只是存在於使用者電腦內,Google搜尋引擎也會將使用者搜尋資訊傳送至伺服端進行儲存,所以當使用者登入Google Web History後,可以在使用者自己家中電腦以外的電腦連線至伺服端查詢瀏覽紀錄,如圖5所示:
 |
| ▲圖5 Google Web History。 |
Google Authentication
Google Account整合Google眾多服務的身分認證,其作業方式是Google Service將Google Authentication Request導向至Google Account,讓用戶端的身分憑證在Google Account進行身分認證。成功登入後,Google Account會回傳Set-cookies給使用者,然後使用者再利用含有身分認證Cookies與Google Service進行身分認證,而之後使用者若再使用Google的其他服務如Mail、Maps時,就不必再重新登入進行身分驗證,遠端認證伺服器會自動讀取Cookie確認身分,因Cookie內包含了之前的認證訊息,如圖6所示:
 |
| ▲圖6 Google Service與Google Accounts進行用戶端身分認證。 |
Google Cookies
與Google Account認證過程中會產生不同型態的Cookies,其中包含Session ID與Secure Session ID,兩者的區別在於有無加密。而關鍵字搜尋服務是無加密連線的服務,屬於SID Cookie,以明文方式被記錄於Cookies,所以鑑識人員可以很清楚地察看到使用者的搜尋內容。