從使用者搜尋關鍵字鑑識取證

鑑識人員分析紀錄檔之前，需要知道網頁相關紀錄檔被儲存在的地方，換句話說，也就是網路記錄的儲存路徑，而Google Chrome紀錄檔的存放路徑，依Windows作業系統版本不同而有差異，通常使用者未改變儲存路徑的話，其系統預設路徑如表1所示：

表1 Google Chrome紀錄檔案預設路徑

其中，相關網路紀錄檔以History、Web Data與History Index Files為鑑識分析所需的重要紀錄檔，介紹如下：

History
使用者造訪過的網頁資料會被記錄於名為History的表單檔案內，此紀錄檔中除了儲存網頁中所連結的URL外，也同時記錄了使用者造訪該網頁的時間、次數及最後存取時間點，表2為History表單欄位的彙整表。

表2 History欄位

Web Data
使用者於網路上所用的帳號及密碼記錄於Web Data檔案內，帳號是以明文方式儲存，密碼則以密文方式儲存。除了帳號密碼外，還可能記錄著更詳細的資料，例如信用卡卡號、聯絡資訊。

History Index Files
使用者瀏覽過的網頁URL、標題及文字內容皆記錄在History Index Files檔案內。History Index紀錄檔會依年月份的方式儲存，例如History-Index-YYYY-MM，而此紀錄檔的內容非常豐富。

案例說明

網路的盛行，讓資訊比以往更容易取得，並且可以拿到大量的資料而不需要到圖書館辛苦地找尋資料，或者攜帶大批資料回去查閱，現在，只要輕鬆地坐在電腦前連上網路後，便能藉由搜尋引擎服務，待輸入關鍵字後就可以獲取許多相關的資料。但是，如此方便的資料取得管道，卻也成為另一個犯罪的溫床。在毒品犯案方面，已經有許多透過網路來學習製造毒品的例子。接著就以此為例進行數位鑑識的案例說明。

據調查，在人員A之住處發現疑似販賣毒品名單，從名單中鎖定另一名人員B。為確定B是否參與毒品交易，而至B家中進行現場搜證，發現少數化學藥品和一台電腦。B主張少數化學藥品是個人興趣，而且自己只有高職學歷，並沒有製作毒品能力以及相關販賣的意圖行為，在沒有直接證據的前提下，調查人員扣押B的電腦及化學藥品，並將電腦交給鑑識人員做進一步的分析。

在鑑識過程中，鑑識人員發現B於電腦中使用Google Chrome上網且刻意將瀏覽紀錄清除，這個行為引起鑑識人員的懷疑，研判其中必有與毒品案件相關線索。首先，鑑識人員利用Guidance Software所研發的鑑識軟體Encase將B所刪除的檔案恢復，如圖7所示。

▲圖7 Encase恢復Google Chrome暫存區。

待檔案恢復後，利用ChromeAnalysis Plus進行網頁紀錄檔分析。ChromeAnalysis Plus能夠以樹狀圖呈現網頁連結關係，顯示使用者瀏覽網頁的訊息，如URL、關鍵字搜尋及造訪網頁時間等。鑑識人員發現B利用Google搜尋引擎瀏覽有關安非他命（Amphetamines）製作所需的材料、方法等網頁資訊，如圖8?9所示。

▲圖8 ChromeAnalysis Plus Web History列出網頁搜尋樹狀圖。

▲圖9 ChromeAnalysis Plus Search Terms列出網頁搜尋項目。

以上證據已經與先前B供稱沒有製毒意圖的行為不符。鑑識人員又進一步查證，將B與此數位證據建立連結，確定搜尋毒品為B所輸入而非其他第三人。

在ChromeAnalysis Plus的Logins項目內，鑑識人員發現B於網路上使用的帳號，雖然帳號是明文顯示，但密碼卻因加密而無法直接查看。故此，鑑識人員利用Google Chrome內建密碼管理功能，顯示出加密後的密碼，如圖10所示。

▲圖10 Google Chrome密碼管理功能。

因為Gmail帳號密碼與Google Web History通用，鑑識人員就以Gmail帳號密碼來登入Google Web History查看B所瀏覽過的網頁，發現B的搜尋紀錄中儲存了相關製作毒品的網頁連結（圖11）。於此，鑑識人員透過Google關鍵字搜尋的鑑識方法獲得關鍵證據，成功地推翻B的供詞。

▲圖說。

結語

因網路科技發達，人們皆可透過網路進行學習，以本文的案例來說，一旦有人透過網路來學習製毒方法，也可透過刪除網路瀏覽器相關搜尋紀錄來逃避責任。然而，鑑識人員透過鑑識工具將遭刪除的紀錄檔還原，並提出關鍵字搜尋鑑識方法，再利用ChromeAnalysis Plus與Google Web History互相進行分析，藉此確認當事人的搜尋紀錄，還原事件真相。