雲端中最主要的應用之一是「雲端儲存」,因為可以隨時隨地存取檔案和文件,所以受到廣大使用者的青睞。這樣的發展固然增加生活便利,但非法者也可藉此進行違法活動,並且利用雲端特性讓鑑識人員無法單憑主機來進行電腦鑑識及搜證。為了掌握非法者在雲端上的犯罪證據,本文將探討如何運用鑑識技術來分析利用雲端運算服務的犯罪跡證。
隨後,進入snapshot.db中的local_entry並檢視其內容,如圖4所示。
 |
| ▲圖4 進入snapshot.db中的local_entry進行檢視。 |
這區塊內含本機端對Google Drive的操作行為,其提供了每個在本機端建立的檔案inode號碼,並上傳至雲端。
實例演練
在手機詐騙案案例裡,執法單位查出詐騙集團主嫌A君,並經情報得知其幕後操控車手取款,及負責得手後的洗錢事宜。但A君為求謹慎,利用手機上網功能,將詐騙交易明細及車手名單等資料儲存至雲端,以利於隨時隨地掌握狀況,且認為不會留下任何證據。
執法單位在掌握所有情資後進行A君逮捕行動時,並查獲所使用的聯絡手機轉交鑑識單位進行證據萃取。但A君竟然將手機破壞,使得鑑識人員無法從所查獲的硬體萃取出相關的數位跡證。
以上述為例,依據鑑識的五個步驟:事件辨別、保存證據、檢驗證據、案件分析與陳述、呈現結果,經過了解案情且辨別事件後,鑑識人員前往A君住處尋找更多跡證並保全證據,扣押A君平日所使用的電腦,再進行鑑識的下一個步驟檢驗證據。
在檢驗證據的過程中,發現嫌疑犯有安裝Google Drive,判斷A君有高度可能性使用此軟體來儲存詐騙相關情資,接下來檢視Google Drive安裝後,在電腦裝置所存留之數位跡證,如下所示:
檢查註冊機碼(Registry)
註冊機碼部分,在「HKLM_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Drive\Install
Location」顯示Google Drive的安裝位置,如圖5所示。
 |
| ▲圖5 安裝位置。 |
接著,查看如圖6所示的路徑「HKLM_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Google\Update\ClientState\{3C122445-AECE-4309-90B7-85A6AEF42AC0}\」,其中,InstallTime為安裝時間,LastCheckSuccess則是最後同步時間。
 |
| ▲圖6 安裝時間、最後同步時間。 |
檢查安裝路徑
電腦中存有軟體相關安裝路徑,可以到相對應的安裝路徑下查看有無軟體相關檔案。就Windows 7作業系統而言,預設路徑為「C:\Users\username\AppData\local\Google\drive」,如圖7所示。
 |
| ▲圖7 Windows 7作業系統上的安裝路徑。 |
在確定A君安裝Google Drive後,透過解讀Google Drive相關檔案搜查重要數位跡證。在Google Drive安裝路徑下,有「snapshot.db」及「sync_config.db」兩個檔案,相關跡證說明如上節所述,「sync_config.db」內記載使用者登入Google Drive所使用的E-mail帳號資料,如圖8所示。
 |
| ▲圖8 sync_config.db開啟畫面。 |
而「snapshot.db」檔案內,則記載在Google Drive內的檔案清單,如圖9所示。
 |
| ▲圖9 snapshot.db開啟畫面。 |
檢視這些檔案的內容,鑑識人員可以發現類似隱喻詐騙相關的檔案名稱,例如洗錢用帳戶、目標個資、詐騙完全手冊,藉此獲取重要的關鍵跡證,而鑑識人員也得以繼續往後的鑑識作為與關鍵數位證據報告。
結語
科技設計來自人性的需求,若使用在正確的地方,對生活是大大的助益,一旦淪為非法工具,你我的安全必定會受負面影響,雲端便為一例。
雲端服務改變了一般人對應用程式使用的方式,透過網路連線至雲端平台,用戶便可隨時隨地取得運算資源,取代過往需安裝軟硬體高成本無彈性的電腦執行環境。管理方便及隨時隨地存取資源的運作模式,雖帶來高品質的服務,但相對地卻也增加了鑑識人員鑑識的困難度。
當非法者利用雲端服務進行違法行為時,除了犯罪範圍不受限制外,犯罪跡證易於隱藏,而鮮少留下數位跡證。故此,鑑識人員須運用鑑識方法,從相關數位痕跡一一探究推索,找出關鍵證據,或許一個不起眼的檔案,卻是破案的關鍵。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>