把握關機前黃金時刻 從記憶體鑑識取證臉書線索

把握關機前黃金時刻
從記憶體鑑識取證臉書線索
中央警察大學資訊密碼暨建構實驗室（ICCL）

本文將以社交網路Facebook為例，探討犯罪者盜用他人在網路上公布之個人相關資料，進行身分竊盜犯罪行為，並利用記憶體鑑識技術來協助鑑識人員找尋犯罪之證據，以還原事實的真相。

在過去沒有電腦與網路的時代，人們間進行社交活動，都需要透過直接面對面的互動，以傳達訊息與資料，但是在電腦及網際網路出現後，人們不但可以從網路上獲取資訊，也逐漸藉由電腦網路技術服務，如聊天室、討論區、BBS、E-mail、MSN等，與朋友們保持聯繫或分享檔案。

這些在Web 2.0的概念與技術發展後有了不同的面貌，這種基於分享、參與的新理念，開啟人們網路社交互動的另一扇窗，許多社交網路服務（the Social Networking Service，SNS）網站因應而生，這些社交網路服務網站基於Web 2.0技術讓使用者與朋友們彼此保持密切聯繫，或協助使用者找尋失聯已久的朋友，強化並擴大使用者的社交圈。

與傳統、單純的交友網站相比，社交網路服務網站提供使用者相當多的功能，尤其是使用者自創內容（User Generated Content，UGC）服務，有別於以往網站對使用者單方向的提供資訊，在社交網路服務網站中，使用者得以自行決定在網站上發布的內容，包括文字、照片、影音等等，甚至還能設定可觀看訊息的對象或群組，讓使用者能夠輕鬆地與朋友分享各類影音與訊息，也可以隨時掌握朋友的最新動態，或邀請朋友加入有興趣的社團及活動，這些都是社交網路服務網站促進彼此的交流與互動的功能。

由於社交網路服務網站與需要安裝程序才能使用的軟體不同，使用社交網路服務網站無須安裝程式，所以殘留在電腦內的數位證據相對較少。

因此，本文以使用者最多的社交網路服務網站「臉書（Facebook）」為例，藉由案例來實際操作解說，探討執法單位及鑑識人員如何透過數位鑑識技術，在揮發性記憶體內找尋犯罪相關的數位證據，來還原事實的真相。

記憶體鑑識 

在一般的數位鑑識方法上，電腦設備的實體記憶體（Physical Memory）資料蒐集與分析往往並沒有扮演著關鍵角色。記憶體又可分為揮發性記憶體與非揮發性記憶體兩種。揮發性記憶體是指一旦失去電源後，儲存在其中的資料就會消失的記憶體。反之，非揮發性的記憶體在電源消失後，資料仍會存留在其中。大多數的電腦鑑識技術是處理非揮發靜態儲存媒體（Non-volatile Static Storage Medium），如硬碟、CD、DVD及快閃記憶體裝置。

數位鑑識過程中有兩個重要的步驟，分別是保全數位資料及分析資料，這對於非揮發性的靜態媒體來說，這些步驟是相當基本的。然而，實體記憶體不同於前者，它難以保全及分析資料。

另外，從靜態媒體和實體記憶體所回復的資料屬性亦不同，靜態媒體是一個資料長期儲存的地區，反之，實體記憶體是當作業系統處理運算資料時，資料短期暫存的區域。

因此，實體記憶體較難去從中得到資料以及進一步分析，且以往也常被認為是比靜態媒體有較少的獲益點。基於以上這些理由，記憶體鑑識不如傳統上的數位鑑識方法，被使用在數位鑑識的過程中。

隨著科技日新月益，儲存裝置在容量和反鑑識科技（Anti-Forensic Technologies）不斷地成長，如磁碟加密，已經變得普遍取得且容易使用，而藉由網路的應用，線上和網路應用軟體的趨勢已經變得越來越普遍。

以傳統的角度來看，實體記憶體的使用是被當作只能提供很少益處，且必須花費相當的努力及有高風險。然而，因為科技的發展如網路聯絡技術，著手在記憶體分析所得的潛在利益，將會比花費和努力更重要。因此，實體記憶體的使用可能掌握了回復具價值性證據的關鍵。

為了對數位證據進行扣押或證據鏈，而將電腦設備關機，所有在揮發性記憶體中的珍貴資訊將永遠消失。這個不可逆的過程，可能會危及正在進行調查的犯罪案件。因此，在蒸發之前取得數位證據，鑑識人員在犯罪現場要立即處理，是個迫在眉睫且具挑戰性的任務。

社交網路服務及Facebook 

雖然社交網路服務提供的新功能給使用者，卻也提供新的犯罪場景給有心人士。有別於傳統的交友網站，在社交網路服務網站上，使用者可找尋原本就認識的朋友來建立朋友關係，但是多數人僅憑藉網路上顯示的照片或資料，未嚴加審核、確認該帳號的真實身分，即認定該帳號為某個好友，或甚至根本沒有檢查、把關，即接受網路上任意的交友申請，分享個人資料與動態，很容易因此成為有心人士進行社交工程攻擊的目標。

Facebook是一個起源於美國的社群網路服務網站，它為人們帶來另一種新型態的社交模式，用戶可以自行決定在網站上發布的內容，包括文字、照片、影片等等，也能設定可觀看的訊息對象或群組，讓用戶能夠輕鬆地與朋友分享各類影音與訊息，也可隨時掌握朋友的最新動態，或邀請朋友加入有興趣的社團及活動。

Facebook同時也開放應用程序介面（Application Programming Interface，API）讓第三方軟體開發者可以開發在Facebook上使用的各種應用程式或遊戲，促進用戶和朋友間的交流與互動。


因為Facebook所提供的眾多方便功能以及免費註冊的特性，讓它成為目前最受歡迎的社群網路服務網站。根據Facebook的數據統計，截至2012年9月，Facebook已經擁有超過10億個活躍的用戶。

Facebook發展至今已不再是一般的社群網路服務站，它結合了許多方便的功能，本篇文章將一些熱門的功能整理成一個表格方便理解，如表1所示。

表1 Facebook網站功能 


不像非常流行的即時通應用程式Skype，Facebook需要使用者登錄E-mail用來辨識。反過來說，Skype要求使用者先申請一個Skype帳號，而且還要安裝軟體才能在用戶端正常執行。

在某些情況下，這些安裝程式會在檔案目錄或是Registry留下數位痕跡，這與Facebook完全不同。Facebook使用者只要在Facebook伺服器上註冊，不需要安裝程序，也不會像Skype一樣留下數位痕跡，因此本文從電腦中的揮發性記憶體中找到些許殘存證據，證明使用者剛剛執行Facebook的動作及行為。

Facebook鑑識

雖然Facebook所提供的網路安全機制似乎無法提供鑑識的線索，然而由於Facebook傳送資料前仍須經由記憶體進行訊息的接收與讀取，故經由記憶體的鑑識便能取得有利的數位證據。相關說明，討論如下：

Facebook記憶體鑑識實驗

對於記憶體鑑識的方式，已經有好幾種針對實體記憶體傾印的工具被發展出來。這些工具在細節操作上雖大多不同，但在理論上都是相同的。所有的工具都以達成可以直接讀取實體記憶體為目標。

本次實驗所使用的MANDIANT是一個免費軟體， 可以在網路上免費下載（http://www.mandiant.com/products/free_software）。使用時可分為以下幾個細部功能：
1. MemoryDD.bat主要用途是將電腦中的揮發性記憶體做成一個完整大小的映像檔（Image File）。
2. Process.bat可列出電腦執行中的程式、啟動時間及路徑。
3. DriverSearch.bat可列出電腦目前載入那些SYS檔，以利於鑑識人員判讀。
4. HookDetection.bat可列出作業系統中目前有那些hooks檔正在執行。
在這實驗中所需要用到的，便是MemoryDD.bat將記憶體做傾印。

而MadEdit是一款跨平台的編輯器，可運行於Linux、Windows系統，可對十六進制進行編輯，是一款FOSS（Free or Open Source Software，免費或開源軟體）軟體。

接下來，會以範例介紹如何運用MemoryDD.bat和MadEdit系統去讀取電腦裡Facebook存放在記憶體中的通訊內容，這對調查嫌疑人的相關證據相當有幫助。

範例演練

A君是進行詐騙犯罪的慣犯，而B君和C君是熟識的朋友，並且在Facebook上也互為好友。A君在Facebook建立一個帳號，利用B君在網路上分享的資料與照片，盜用B君的身分，在Facebook上與C君成為朋友關係，並透過C君所公布的Facebook塗鴉牆、個人訊息、照片內容等相關資料，了解C君的生活與動態、B君與C君的關係。

後來，A君的帳號以手機損壞無法使用且有急需為由，透過即時訊息功能，請C君協助購買網路遊戲點數，代收網路遊戲認證碼簡訊，並請C君告知認證碼，該帳號在獲取認證碼後即失去聯絡，C君在收到手機帳單，並向朋友B君詳加查證後，始知已遭到歹徒詐騙，及B君的身分被人盜用。

經由鑑識人員積極追查到A君的電腦，但A君矢口否認使用該Facebook帳號，此時，該如何證明A君確實使用過該帳號，為鑑識人員須提出證明並努力的方向。

在以下的章節中，將介紹鑑識人員如何從Facebook使用者端的記憶體中取出敏感性的資料。鑑識人員可藉此得到使用者登入帳號ID及帳號與密碼等資訊，以作為A君犯罪的證據或是往後追查的線索。

以下就是鑑識取證的步驟：

步驟一：將電腦中的揮發性記憶體製作或完整的映像檔 
暫存於記憶體裡的所有資料，很有可能有嫌疑犯A君的犯罪證據。若第一線的鑑識人員打算將電腦關機，再將其帶回進行數位鑑識，暫存於記憶體裡的所有資料都會隨著電源的關閉而消失，這樣的話，就錯失了取得證據的最好時機。

要了解掌握取證的時機，在現場時就可以進行記憶體傾印（Memory Dump）來蒐集運轉中電腦主機裡的記憶體資訊，以便進一步分析暫存於記憶體裡的資訊。

MemoryDD.bat是可用來進行記憶體傾印的工具。MemoryDD.bat進行傾印（Memory Dump）時，會在DOS介面下自動進行，並在該安裝好的資料夾內新增一個資料夾，且產生記憶體映像檔。在圖1中，鑑識人員執行MemoryDD.bat完成後，就會如圖2所示，在MANDIANT資料夾下產生一個記憶體的映像檔。


▲圖1 以MemoryDD.bat進行記憶體傾印。


▲圖2 完成產生記憶體映像檔。

步驟二：進一步取得嫌疑犯登入的帳號ID 

對於嫌疑犯A君，取得該嫌疑犯的ID對於線索的追查具有相當高的價值。從步驟一中所得到的映像檔，利用MadEdit可以取證映像檔中的使用者ID。如圖3所示，A君的使用者ID是1594132314。 

▲圖3 找到使用者ID。

步驟三：使用者登入的帳號及密碼 

回復密碼檔具有相當高的價值性，並可看出使用者的特徵，因為使用者經常會在其他的軟體或網頁上使用相同的密碼。 

在某些特定使用的通訊科技中，密碼還可以被用來得到額外的資訊。例如，一些系統提供藉網路介面的帳戶資訊頁面，可以提供存取的資訊，例如語言信箱的訊息或是聯絡歷史記錄，都無法以其他方式

來獲得。 圖4顯示，在關鍵字pass=的查詢結果中發現有一段「email=cdcc3005@yahoo.com.tw&pass=richard168」文字，表示A君曾用cdcc3005@yahoo.com.tw登入Facebook，且密碼為richard168，並進一步利用所獲得的帳號及密碼登入Facebook，得知嫌疑犯A君和聯絡人彼此間所傳送的資料，如圖5所示，提供給鑑識人員追查的線索。 

▲圖4 關鍵字pass=的搜尋結果。

▲ 圖5 由A君的Facebook帳號得到A君與聯絡人間互動內容。

由實驗結果可以蒐集到A君在Facebook所登入的帳號ID，並利用關鍵字得到A君Facebook的登入帳號與密碼，進一步蒐集到A君與其他聯絡人的聯絡內容，以深入了解A君在網路上與他人的互動細節、關係背景、聯絡頻率等等，而這對於鑑識人員來說，是一個很重要的證據來源。 

結語 

在許多人的日常社交活動中，Facebook扮演非常獨特的角色，但是它也造成潛在的威脅，個人資料可能會被不請自來的訪客任意破壞、散布及誤用。但無可避免地，隨著網際網路的快速發展以及全球網路漸趨完備，社群網站在未來的鑑識工作中將會越來越重要，藉由本文討論所取得的資料，將成為在Facebook鑑識的重要數位證據。

轉載自《網管人》