2012年7月5日 星期四

人人可以是偵探 數位鑑識自己來

巧用Helix程式周全功能
人人可以是偵探 數位鑑識自己來

數位鑑識不一定要依靠鑑識人員才能處理,只要使用一套簡易的數位鑑識軟體,一般人就能對自已的電腦進行數位鑑識工作,了解電腦到底發生何種狀況,自行取得資訊來解決問題,這就是所謂的Forensics By Yourself(FBY)。本篇文章將介紹容易上手的數位鑑識軟體「Helix」,並提供一個案例示範,當讀者或朋友遭受到資訊安全威脅的時候,可以透過Helix協助解決問題。

隨著時代演進,科技的進步,現今社會早已是一個資訊發達的世代,電腦與網路的快速發展和普及,讓生活更加便利,讓工作更加簡單。

然而,有心人士也利用電腦與網路普及的特性從事非法行為,例如製造施放電腦病毒、盜用資訊資源、駭客入侵、網路釣魚等等,這對社會大眾造成相當大的傷害。

此類型的犯罪不同以往的一般犯罪,其特性包括:犯罪行為不容易被發覺(受害者總是在不知情的情況下誤入犯罪者所設下的陷阱,例如觀看了隱含病毒的圖片導致中毒)、犯罪證據不易被採取並且極易被銷毀(記錄著犯罪行為的證據都是以數位的型態被儲存,只要犯罪者刪除甚至覆蓋後,證據就很難被取得)、犯罪事實與證據易招爭議且需要長時間偵察(網路或電腦犯罪的犯罪通常是持續不斷地進行,直到被發現才會終結,加上證據的處理如有不當,在法庭上就不具證明能力)、電腦犯罪多為智慧型犯罪(會利用電腦與網路犯罪的人在這方面具有一定程度的學識,所以知悉如何隱藏自己的犯罪事實不被發覺)。

也由於上述的特性,一般人常會不自覺地踏入攻擊者所設下的陷阱,而往往在個人資料、財產造成損害時才有可能驚覺。若攻擊者再高竿一點,被害者甚至全然不會發現整起犯罪事件。

反觀,倘若本身已具備基本的數位鑑識的觀念與能力,不僅能夠警惕自己不要隨意踏入他人所設下的陷阱,而且對於自身電腦與網路所發生的情況也可以有更加深入的認識,甚至還可以幫助身邊的朋友一同免於遭受威脅。

接下來,就為大家介紹數位鑑識的相關背景。

認識數位鑑識及相關程序 

以下從數位鑑識、數位證據、數位鑑識程序等三方面來探討相關的資料背景。

數位鑑識 

所謂的「數位鑑識」,是使用科學技術進行搜索和鑑定、找出關連性、運用各種技術將數位證據文件化,並找出與所需相關的數位證據。

或者,確認意圖進行破壞的未經授權行為,並從系統中找出這些不法行為的證據。換句話說,就是在所蒐集到的數位資料中找出關鍵性的證據,能夠證明犯罪事實的證據。

數位證據 

這裡提到的證據與一般傳統的證據不同,通稱為「數位證據」。它是以數位的型態儲存或傳輸,是在法庭上作為證據用的數位電子資訊,其具有以下幾項特性:

1. 難以蒐集萃取與保存
若取得記憶體中的資料,因為證據都以數位的形式儲存,因此必須依賴相關軟硬體技術才能取得。至於保存的方式,也得利用數位儲存媒體來儲存,如隨身碟、硬碟、光碟等等。

以上這些儲存媒體只要受磁、受潮,甚至受到外力的破壞,就可能導致損壞而讓資料無法讀取。

2. 無法直接感知與理解
數位資料儲存的原始形式是0與1,試問0001010101010111110代表著什麼意思,隱含的內容又是什麼?很明顯地,這不是一般人光用肉眼就可以理解,必須藉由電子設備才可檢視。

3. 易於複製竄改與刪除
對於檔案資料的每一次存取,都可能會改變資料的狀態,以電腦檔案資料為例,任何人都可以很簡單地複製與刪除,對電腦系統稍有常識的人甚至懂得刪除資料只是切斷與其連結的路徑,其實該檔案還是儲存在硬碟內,要以別的檔案將其覆寫之後,才會完全從硬碟消失。

4. 難以證實來源與完整性
與一般犯罪不同的是,犯罪者與犯罪現場經常是分離的。例如,將病毒隱藏在圖片內並到網路上散布,只要在網路上瀏覽過該圖片之人的電腦就有可能遭受病毒入侵,所以可能的受害者遍及世界,只要能上網的人就有中毒的危險。

5. 難以建立連結關係
如同上述所說,犯罪者與犯罪現場分離,甚至有的犯罪者會利用遭受他入侵的使用者電腦來從事犯罪。

例如,犯罪者A入侵了無辜的受害者B的電腦,再對C、D、E的電腦從事犯罪行為,當C、D、E察覺時,經由調查與研究之後,會認為是B所犯下的,若不是再做更細膩的調查,B就可能成為無辜的替死鬼,而A就繼續逍遙法外。


數位鑑識程序 

如圖1所示,這是數位鑑識的「標準作業程序」(Standard Operating Procedure,SOP),以下詳細說明其各項的主要內容。


▲圖1 數位鑑識程序。


事件辨別 
事件辨別主要是收集情報與分析案情,先了解案情大致發生的經過,並造成什麼損害,以及接下來會遇到什麼問題與挑戰、能有哪些因應之道、可以做什麼準備。

保存證據 
在現場最主要就是保存證據,這是相當重要的步驟,證據是決定一個人是否犯罪的根據,而且前述提到數位證據很容易遭到破壞,以及隨時可能因為不經意的更動而導致內容改變,使得證據失去證據能力,所以必須妥善保存所蒐集到的證據。

檢驗證據
在現場蒐集完證據之後,緊接著就是重頭戲了,也就是對它們進行鑑識的動作。這時候藉助一些鑑識軟體,就可以從中得知記憶體的內容、使用者到過哪些網站,甚至是使用者曾經做過哪些事情等等。

案件分析與陳述
做完數位鑑識之後,開始分析相關內容,嘗試將分析的結果、內容與嫌犯做連結,慢慢推敲出嫌犯的行為,尋找嫌犯、犯罪現場與受害者的關連。

呈現結果
最後是提出報告,清楚地交代每一個步驟的作為、證據的來源、用了什麼鑑識工具、得到了哪些資料,合理地解釋其與嫌犯及受害者的關係,以供法庭做判決時的判斷依據。

看完上述有關數位鑑識的相關介紹後,需要一套能夠幫助自身從事數位鑑識作業的軟體,而且它必須是簡易使用、功能豐富、輕易上手的軟體,當然,最好還能夠免費,在此推薦一套具有上述功能與條件的數位鑑識工具包Helix。

登錄安裝Helix程式

Helix是由e-fence公司所整合的一套數位鑑識工具包,內含許多數位鑑識的相關應用程式,並支援上述數位鑑識程序中所提及的步驟,可以在UNIX與Windows系統執行,還擁有Live CD的模式(電腦可直接透過此光碟開機,所以不會掛載至硬碟,不會更動到Swap Space),如此就可以在不更動到電腦資料的情況下進行數位鑑識。

首先,進入e-fence的網站,點選「STORE」選項連結,如圖2所示。


▲圖2 點選「STORE」選項檢視有哪些產品。

接著便可以看到該網站所提供的產品,由於這次的目標是Helix,於是點選「Helix3 Download」連結(圖3)。


▲圖3 點選「Helix3 Download」。

在新畫面中可以看到一個令人欣喜的數字$0.00,代表這個軟體免費。按下〔ADD TO BASKET〕按鈕,將其加入購物車(圖4)。


▲圖4 將Helix產品放入購物車。

此時,Helix產品已經被放入購物車了,於是點選右上方的購物車準備取得產品(圖5)。


▲圖5 產品已經放置在購物車中。

接著,按下畫面右下角的〔CHECKOUT〕按鈕,如圖6所示。


▲圖6 按下〔CHECKOUT〕按鈕。

這時候會要求登入會員,所以按下〔CONTINUE TO CHECKOUT〕按鈕申請成為會員,然後依序填入對方所要求的資料,之後就可以成為他們的會員了(圖7)。


▲圖7 按下〔CONTINUE TO CHECKOUT〕按鈕申請成為會員。


不久之後,在剛剛註冊的信箱裡即可收到該網站寄來的認證郵件,點選下方的連結,就可以開始下載Helix軟體,如圖8所示。


▲圖8 點選下方的連結之後即可開始下載Helix軟體。

下載回來的檔案一個ISO映像檔,所以可以將其直接燒錄成光碟使用,此種程式檔案格式的好處是,可以被使用但並不會因為存取而改變其內容。

接下來,介紹Helix主要的功能。開啟此光碟的功能之後,可以看到Helix的主要介面,以下簡介主視窗內主要選項的功能,如圖9所示。


▲圖9 Helix程式操作主介面。

功能1:Preview system information
在第一頁內會顯示這部電腦的相關資訊,而在第二頁則顯示正在執行的程序。

功能2:Acquire a "live" image of a Windows System using dd
第一頁供使用者製作映像檔,在第二頁則提供鑑識映像檔、邏輯記憶體與實體記憶體的工具。

功能3:Incident Response Tools for Windows Systems
這裡分成三個部分,第一部分是針對具有揮發性(Volatile)的檔案做鑑識的工具,例如記錄當時電腦開機時的狀態,第二部分是許多雜項(misc)的整合包,如檔案還原、電腦開關機的時間等,許多有趣的功能都可以在這裡找到,第三部分是關於搜尋密碼的工具,除了會搜尋使用者儲存在系統中的密碼,還提供可檢視使用者上網瀏覽記錄、登錄檔內容的工具。

功能4:Browse contents of the CD-ROM and Host OS
此項目可協助檢視電腦檔案的各項資訊,例如MAC time、CRC驗證碼、HASH值等。

功能5:Scan for Pictures from a live system
可找出使用者選取之資料夾中的全部圖片,就算是被使用者隱藏起來的圖片,依然可以偵測到並且顯示出來。

之所以提供這項功能,是因為有許多犯罪者會將病毒或是機密訊息藏入圖片內,這項功能能夠找出所有的圖片,但要偵測圖片中是否有隱藏訊息,則必須藉助別套軟體。

功能6:Investigative Notes
讓使用者輸入製作報告時所需的相關訊息,例如服務機關、調查者、案件號碼等等。

最後,在完成所有操作並關閉Helix的同時,會詢問是否要製作PDF檔,這個PDF檔會將從開啟Helix之後到關閉為止,在此軟體上的所有操作行為記錄下來。

因為PDF檔無法更改內容的檔案,所以在提出鑑識報告的時候,此檔案就可以保證整個鑑識過程是嚴謹且合乎要求。

以上介紹了Helix相關功能,然而市面上仍有許多其他的數位鑑識軟體,而且每個軟體強調的功能與訴求並不相同,其中以Encase和FTK較普及,而Helix與其他的鑑識軟體的特色又有哪些差異並擁有哪些優勢呢?可參考表1的說明。

表1 Helix與Encase、FTK的比較


Helix相較於如Encase、FTK等其他的數位鑑識軟體,優勢在於它是一套免費軟體,並且整合了許多鑑識工具,而且一般人都可以取得,相當適合初學者及對於數位鑑識有興趣的人。

接下來,就利用剛剛學習到的知識以及取得的軟體,來試著解決資訊安全的威脅!

利用Helix找出禍首 

朋友最近抱怨,她寵物的照片突然被匿名的人拿到網路上面公布(圖10),這些照片都是她儲存在電腦中的心血,所以她強烈懷疑是自己寢室內的室友所為,但是苦無證據。


▲圖10 自己拍的照片被人放在Facebook上。

此時,剛剛所學的數位鑑識相關技能正好可以派上用場。二話不說,就帶著製作好的Helix光碟前往她的寢室,看看是否能夠幫助她解決疑慮。

而在準備進行鑑識作業之前,不妨也將剛剛所學之數位鑑識的SOP應用在這次的行動上。

事件辨別 

朋友抱怨有人以匿名的方式在網路上散布她所收藏的寵物照片,由於她從來沒有將照片給過任何人,也不曾在網路上面分享,所以最有可能的情況,就是她的室友擅自使用她的電腦存取照片。

大致推測與了解整起事件之後,有了初步的推斷方面,但是除非有確切的證據,不然她的室友絕對矢口否認,於是開始著手在她們的電腦上找出相關的數位證據。


保存證據 

這個時候事前所準備的Helix數位鑑識工具包就派上用場了。

首先,把整個鑑識作業需要使用到的資料都準備好以方便進行鑑識,並且為了證明沒有從中做手腳,於是對其電腦硬碟和隨身碟製作映像檔,在製作好映像檔之後,即可進行下一個階段的作業。

檢驗證據 

利用工具包中關鍵字搜尋的功能,試圖在硬碟和隨身碟的映像檔內找尋是否有相關寵物照片名稱的檔案,遺憾的是並沒有找到,但懷疑檔案已經被刪除了,於是利用Helix工具包中AccessData FTK Image程式來觀看這些映像檔中被刪除的檔案。

果然,在隨身碟的映像檔中發現一個被刪除掉的資料夾,裡面存放著一堆的照片,再繼續點選觀看,確實是朋友寵物的照片(圖11),此時整個罪狀可以說快蓋棺論定了。


▲圖11 在隨身碟的映像檔中找到了被刪除掉的照片。

而再來的問題就是對方在什麼時候擅自使用了友人的電腦來存取這些照片呢?於是使用工具包中PC ON/OFF Time程式來了解她電腦使用的時間,發現2011年12月31日中午12點到下午3點這段時間(圖12中的框選)有著極不尋常的電腦使用紀錄。因為在跨年那天她人整天都在外參加跨年的活動,根本不可能使用到電腦,所以結果已經相當明顯了。


▲圖12 12月31日下午電腦是開機的。

案件分析與陳述 

經由上一個階段取得的數位證據所給予的資訊,可以清楚地得知整件事情的來龍去脈:在12月31日年底的那一天,對方趁著朋友出外遊玩的時候,擅自使用她的電腦,並利用隨身碟帶走了存放在她電腦中那一些可愛的寵物照片,然而卻不慎在網路上面流傳出去,所以連忙將檔案刪除試圖掩蓋她不當的行為,以免被逮到證據。

呈現結果 

天網恢恢,「鑑識」網難逃,整起事件乍看之下似乎無法證明對方的不當行為,但是恰好學習到數位鑑識的相關知識,讓我們現學現賣,也確實讓對方露出馬腳而不得不承認自己的行為,讓整個事件告一段落完美落幕。

結語 

類似的例子其實經常發生在我們周遭。不見得每一個人都有著良好的資訊安全觀念,尤其近年來許多人的私密照頻頻外洩,這就是沒有做好適當的保護,在不經意之下讓有心人士得逞。

而重點是當本身得知之後,卻又無能為力,只能請求相關單位的協助。若是本身即具備著資訊安全和數位鑑識的基本概念,相較之下,就不至於輕易地成為受害者,甚至不單單能夠保護自己,還可以幫助身邊的友人。(中央警察大學資訊密碼暨建構實驗室(ICCL))

轉載自《網管人

沒有留言:

張貼留言