本篇將探討反鑑識的工具與使用手法,並歸納出對於反鑑識技術的鑑識萃取工具與方法,並透過一個有關Facebook社群網站之情境案例來說明相關數位證據調查,提供鑑識調查人員在遇到反鑑識手法的犯罪行為時,可用來執行鑑識調查方式的參考。
除了上述軟體的移除、資料的清理及抹除功能外,Revo Uninstaller也提供Windows系統登錄清理等功能。另外,Eraser、CCleaner也是常見的免費資料抹除軟體,而且使用相當簡單且人性化。
在使用Revo Uninstaller工具將資料抹除後,接著使用網路上常見且免費的復原軟體Final Data,嘗試復原被抹除後的資料,如圖2所示,將發現經由形跡移除器抹除後,無法搜尋到已抹除的資料,因為形跡移除器提供完整的實體性刪除。
 |
| ▲圖2 經反鑑識後透過Final Data資料復原工具之復原結果。 |
對於電腦鑑識人員來說,實務上面臨的困難在於無法有效取得在電腦上已被抹除的重要數位證據。因此,鑑識人員對於多元化的反鑑識工具必須更有效地掌握,若能夠瞭解每個工具的優缺點,對於數位證據的調查才能有所幫助。
網頁隱私瀏覽器與可攜式瀏覽器
網路的使用讓使用者的生活便利許多,諸如線上信用卡交易、社群網路、拍賣網站的競標及網頁私密訊息留言等,相對地,在用戶的隱私上卻帶來一定的威脅,如私密照片外流、會員帳號被盜等等,有鑑於此,網頁安全的發展必須更多元,以因應複雜的用戶需求。
為了確保用戶的隱私,各家網頁瀏覽器廠商開始推出隱私瀏覽模式,根據Chrome、Firefox及IE網站的資料,對於各家隱私瀏覽模式宣稱不會留下任何紀錄的資訊,彙整如表1。
表1 各家瀏覽器宣稱不會留下的紀錄
但是,在Chrome部分若使用iOS裝置(如iPad、iPhone),可能會儲存隱私瀏覽模式中拜訪過網站的一些相關資訊,因為一般瀏覽模式分頁與隱私瀏覽模式的分頁皆共用iOS裝置的HTML5本機端儲存空間,而使用HTML5的相關網站可以在該儲存空間中存取用戶端相關的瀏覽資料,所以在本機端可能會留下一些HTML5的相關紀錄。
然而,隱私瀏覽在使用上非常方便,如Internet Explorer瀏覽器在開啟後,於鍵盤上按下〔Shift〕+〔Ctrl〕+〔P〕快速鍵即可開啟隱私瀏覽的分頁,方便使用者進行私密瀏覽;而Google Chrome,則是於瀏覽器中按下〔Ctrl〕+〔Shift〕+〔N〕快速鍵即可快速開啟,Chrome的隱私瀏覽模式頁面視窗頂端呈現灰色或藍色,且左上角會出現人像的標示,如圖3所示。大致而言,網頁隱私瀏覽模式不會在電腦內留下瀏覽紀錄與Cookie等私密資訊。
 |
| ▲ 圖3 在Chrome瀏覽器內按下〔Ctrl〕+〔Shift〕+〔N〕快速鍵即可開啟隱私瀏覽分頁。 |
基於隱私瀏覽器的方便使用,導致隱私瀏覽器可能成為不法企圖者用來進行非法操作的反鑑識工具。另外,可攜式瀏覽器為一種新的使用趨勢,可將網頁瀏覽器安裝於隨身碟的資料夾內,以Firefox為例,如圖4所示點選此資料夾內的可執行檔FirefoxPortable即
可開啟可攜式瀏覽器,而其瀏覽的紀錄只存在該資料夾中。
 |
| ▲圖4 可攜式瀏覽器於隨身碟中執行。 |
除了Firefox之外,各家網頁瀏覽器紛紛推出可攜式瀏覽,如GoogleChromePortable,可輕易地將網頁瀏覽器轉移到不同的執行環境,如圖5所示,可將網頁瀏覽器從Windows系統轉移到隨身碟。
 |
| ▲圖5 將可攜式瀏覽從Windows系統轉移到隨身碟中。 |
可攜式瀏覽器強調的是該資料夾能夠轉移到其他的平台上,不與作業系統綁定。由於可攜式瀏覽器具備平台資料的獨立性,容易成為犯罪者常用的反鑑識工具,因為駭客在網頁上的瀏覽紀錄只會存留在其隨身碟中,不會在電腦內留下可攜式瀏覽相關的檔案與
紀錄。
有效之證據萃取
在瞭解各個反鑑識工具的運用與特性後,鑑識人員必須針對反鑑識工具的特性歸納出對應的鑑識工具與方法,例如電腦在面臨資料邏輯性刪除的狀態時,可採取的對策有硬碟資料復原取證。
當傳統的鑑識方法面臨反鑑識的衝擊時,因為目前的數位鑑識程序沒有一定的標準,若是採用一般的數位鑑識流程,由於並未在資料的收集與識別的程序當中對反鑑識的環境做特別的定義,又因為對反鑑識工具的特性瞭解不足,以致於在數位鑑識的採集過程中可能遭遇瓶頸,例如遭受到資料抹除工具執行實體性資料刪除的硬碟,或使用網頁瀏覽器的隱私瀏覽模式,以硬碟資料復原取證方式可能找不到相關跡證。