展開選單

網站服務選單

登入

頁面路徑列表

子選單列表

博客來偵探社

【科技刑偵講堂 05】偵探社特別班:電腦犯罪偵查與數位鑑識

  • 字級

現代生活中,不論是通訊聯絡、上網申辦資料、查閱資訊、休閒娛樂等,多數人幾乎離不開各種3C產品。科技帶來便利性,也讓犯罪者看到「商機」,從而衍生出許多犯罪活動。目前的犯罪偵查工作中,多數案件幾乎都有程度不一的數位鑑識需求,由於數位證據具有易於修改、無限複製、不易個化、無法直接理解內容、可能回復與蒐證困難等特性,使得鑑識過程牽涉一系列程序。本文將針對目前警方常使用的數位鑑識程序、工具與困境等,來逐一說明。

Photo by Markus Spiske,Unsplash

一、數位鑑識的各個階段:

數位證據指的是二進位方式記錄與傳輸的各種資訊,例如文字、圖片、語音、影片、簡訊、檔案、封包、各種紀錄檔等,所以與二進位資訊有關者,都是數位鑑識的範圍。這些資料從一開始就具有易被修改、毀損、添加、刪除等特性,因此鑑識開端始於刑案現場的處理工作,必須在不改變原始證據狀態及內容下,將證物保存與送驗,並確保每一階段證物鏈的完整性。目前數位鑑識作業程序主要包括事前規劃、執行與報告呈現三個階段,所有原則均依循各標準規範或作業程序辦理,例如行政院頒訂的「政府機關(構)資安事件數位證據保全標準作業程序」,警政署則有警察偵查犯罪手冊、數位證物鑑識程序、刑案現場數位證物蒐證手冊等資料,而國際間如美國司法部、歐洲刑事鑑識學會或ISO/IEC 27037等,都對這個程序有詳細的規範。

1. 規劃階段:即進入現場蒐證前的準備階段。需先蒐集案件基本資料,並決定蒐證標的與範圍,決定要準備何種出勤工具,像是扣押物清單、證物標籤、證物袋(箱)、麥克筆、攝影機、電腦鑑識開機光碟、工具箱、網路線、電源延長線、網路集線器、隨身碟等,最後召集所有人員進行勤前教育、準備行動。之所以需如此大費周章,原因在於各種犯罪場所狀況不一,舉例來說,若詐騙機房位於高樓層,而且有各種危險武器在內時,則需請專業攻堅人員協助,或是規劃如何智取進入,務必在最短時間內控制現場,避免證據遭湮滅。又假設機房設有遠端操作與回報功能時,如何在短時間內控制網路,避免資料遭清除;若有數個現場,甚至是跨國案件時,如何協調不同機關與跨國機構同步處理,均為規劃階段須注意的重點。若情資顯示,蒐證重點為斷電後即消失的揮發性記憶體,那麼,如何確保現場電源正常運作,就會是勤務分配重點項目之一。

Photo by Glenn Carstens-Peters, UnsplashPhoto by Glenn Carstens-Peters, Unsplash

2. 執行階段:著重於維持與記錄現場完整性,透過專業判斷了解證據所在,進行證據擷取、蒐集與運送工作,將證據送入數位實驗室做進一步分析。

a. 蒐集:即現場蒐證階段。這個階段著重於證物辨識、防止數位證據被汙染。證物辨識中,必須了解哪些可以做為數位證據標的,這可分為以下三大部分:
1) 實體設備:如電腦、伺服器、筆記型電腦、手機、智慧表;各種儲存媒體,如硬碟、隨身碟、記憶卡;行動影音設備、MP3 player、光碟機、ÐVD、網路設備等。這些證物除了本體之外,其周邊元件亦須一併查扣,並對其作完整標示,如連接線順序、插孔位置、型號等均須拍照記錄,以便之後完整重建現場運作狀況。

 

圖片說明:電腦內部各元件資料須透過不同工具軟體解析圖片說明:電腦內部各元件資料須透過不同工具軟體解析

2) 資料型式:包括各種格式檔案、記憶體內之揮發性資料、系統後設資料(metadata)、被分配磁區等。

3) 證據資訊:如上網行為、系統登錄資料、被刪除資料、程式執行紀錄、通聯與通訊軟體、各式電郵內容等。除此之外,與各種上網行為有關的資料或文件,如帳號、密碼等記載紙條、購物收據、犯罪筆記、帳本、各種教戰守則等,均為蒐證重點。

所列資料中已包含多數證物,但於現場如何查扣或篩選證據,這就有不同專業或實務考量了。舉例來說,若牽涉網路服務公司,則伺服器等硬體設備就盡量不要查扣,盡量以製作鏡像檔為主。犯罪資料亦可能存在於不同造型的隨身碟與體積微小的記憶卡中,如何找出這些實體設備也是一大挑戰。電腦設備中若發現設有開機密碼,如何在現場透過詢問技術取得密碼,以便後續數位實驗室能順利分析內容,這也是現場蒐集時在短時間內必須面對的挑戰。

b. 保存:此階段著重於證據封存及運送,防止數位證物遭到人為與外在環境破壞,確保證據監督鏈的完整性。例如使用防靜電袋、封緘膠帶、填寫證據標籤等,確保證物能妥適保存。若能取得證物原始包裝箱,則可另以該包裝箱保存證物。

c. 鑑定:資料分析階段,即針對案件與解決的問題進行分析。可能包括惡意程式分析、手機資料存取、網路封包解析、駭客入侵偵查與追蹤並還原攻擊或案件原貌、列出案件相關時間軸等工作。此階段需特別注意的是,以檢驗軌跡(trail)或備份檔案(backup copy)為原則,爾後若將同樣的數位證據交由任一獨立第三方進行檢驗時,必須能夠得到相同的結果。若有直接檢視原始數位證物必要的時候,必須要能確保當事人的專業性,而且對任一動作都能解釋其動機、目的與關聯性,避免日後須面對任何竄改資料的質疑。

圖片說明:使用Autopsy軟體之列表模式, 可依照時間序列檢索事件內容如紅框處,圖為上網紀錄。圖片說明:使用Autopsy軟體之列表模式, 可依照時間序列檢索事件內容如紅框處,圖為上網紀錄。

 

圖片說明:使用Autopsy軟體之時間序列分析之長條圖模式, 可以清楚知道時間與事件發生量之關係圖片說明:使用Autopsy軟體之時間序列分析之長條圖模式, 可以清楚知道時間與事件發生量之關係

3. 報告階段:將鑑定所得內容轉換成偵查或審判單位能接受的格式,以提供後續偵查與審判使用。

二、數位實驗室主要工作內容與軟體工具:以下列舉目前數位實驗室工作內容,該類工作除人員腦力激盪外,尚需配合大量的鑑識軟體,且每一領域幾乎都需要大量使用不同的軟體。

1. 刑案現場搜索與扣押:如同前述,即協助偵查人員到現場搜索與查扣證據。現場處理人員通常備有「出勤工具包」,裡面就有各種現場需使用到的工具軟體,例如手機翻拍、刪除還原、防寫、映像檔製作、截圖、變更開機密碼、VOS網路電話群撥系統擷取工具等。

圖片說明:揭密出勤工具包中的各種軟體工具圖片說明:揭密出勤工具包中的各種軟體工具 


2. 硬碟資料復原與解析:製作映像檔後,載入鑑識軟體進行分析,最常用的軟體如EnCase或FTK等。EnCase為Guidance Software公司推出的鑑識軟體,可以進行排序欄位排序、重建已格式化媒體架構、顯示Microsoft Office、Outlook PSTs、TAR、GZ、Thumbs.db及ZIP等檔案架構與後設資料,並對各種簽章、磁區、註冊檔、雜湊值做比對分析。目前全球約有超過90%的執法機關及各政府單位皆有使用EnCase產品,是一種國際間普遍採用的專業電腦鑑識軟體。FTK Imager亦為美國政府及法院認可的數位鑑識軟體,主要用來製作磁碟及記憶體映像檔,也能協助鑑識人員掌握重要數位證據的內容。

3. 惡意程式分析與鑑識:可分為靜態與動態兩種方式。靜態做法為不執行可疑程式,針對檔案及程式結構、包裝中的字串資料作分析,或是進行反組譯除錯工作。動態做法則是在控制環境下執行可疑程式,並分析記憶體、系統狀態與側錄之網路封包,了解危害行為與連線狀況。如使用netstat指令或TCPView軟體檢查不尋常連線,使用Windows下的Autoruns程式、用Virus Total網站分析、或以Sniffer軟體擷取連線封包並監控網路等,均為常見手段。

圖片說明:刑事警察局研發科之惡意程式掃瞄系統圖片說明:刑事警察局研發科之惡意程式掃瞄系統

早期常見的幾種惡意程式名稱早期常見的幾種惡意程式名稱

4. 手機資料存取與解讀:手機資料主要儲存於裝置內記憶體、SIM卡與記憶卡三處,手機內會有個人筆記、通話群組、手機作業系統與基本資料(IMEI碼、SIM卡)、GPS/地理資訊位置、上網行為紀錄、各種使用過的Apps、影音、郵件、行事曆等,幾乎可以描繪出一個人的生活習慣。為了讀取大量資料及分析,目前鑑識單位最常用的為以色列Cellebrite公司發行的相關程式,舉凡事件時間線、手機上網地點、圖像及影片資料等,均可完整呈現。以色列四周敵國環繞,隨時有反恐需求,查扣犯罪者手機後常需立即解碼了解共犯網絡關係,自然也促進這類產業的蓬勃發展。該公司執法部門的業務主軸就是手機資料轉移和數據破解,連美國執法單位無法破解的手機,都多次求助該公司協助,顯示該公司在手機資料分析上的獨厚功力,國內多數偵查機構亦以該機構製造的產品為第一優先採購對象。

5. 網路封包監察與解析:封包是網路用來傳送資料的最小單位,一個封包由標頭(Headet)和資料(Data)所組成,標頭內主要為封包的屬性紀錄,如通訊協定、來源及目的地IP位址、來源及目的地通訊埠等資料。封包傳送需靠路由器(Router)依據標頭記載資料完成數據交換,故在網路架構中的適當位置擷取網路封包,就可以取得相關資訊作為電腦使用行為分析,對於了解網路使用程序及側錄另一台電腦連線狀況有很大幫助。目前最常用的軟體之一是開源之Wireshark軟體,雖然該軟體並非入侵監測軟體,對於異常流量不會有提示功能,但透過軟體的封包分析功能即可了解上網行為。

圖片說明:使用HashMyFiles檢視各種雜湊值,可了解檔案是否遭變動圖片說明:使用HashMyFiles檢視各種雜湊值,可了解檔案是否遭變動

圖片說明:分析郵件標頭資料,即可取得寄送各階段時間紀錄圖片說明:分析郵件標頭資料,即可取得寄送各階段時間紀錄

三、電腦鑑識的挑戰:數位偵查是一場腦力、軟體、金錢的競賽,為持續性的矛與盾競爭。以下列舉目前可能遇到的數位偵查困境,提供大家參考。

1. 各種反鑑識技術的出現:在避免遭到追蹤之商機引誘下,各種反鑑識手段與工具不斷推陳出新,常見如製造虛擬足跡混淆鑑識人員偵查方向、隱匿各種資料避免被找出犯罪證據、加上各種密碼保護以及人為完全抹除各種資料等。以之前許多販毒首腦喜愛使用的西班牙BQ廠生產,型號為Aquaris X5特製加密手機來說,其具有「雙作業系統」功能,要進入真實作業系統,需要輸入15位數的密碼,若輸入特定4位數(PIN碼)密碼,則會完全刪除手機資料,無法恢復,增加偵查人員鑑識困難度。

2. 儲存容量倍數成長,鑑識人員工作日益繁重:現代人習慣將各種資料存在手機內,相對也使得手機解析資料無限擴張,雖然可以借助軟體協助歸類,但最後仍須人工確認與犯罪有關的資訊,增加時間負荷。

3. 利用VPN連線:VPN為虛擬私有網路,利用遠端區域網路(LAN)或是個人用戶透過身分驗證與加密技術的保護,建立一個獨立且保密的傳訊通道。不同於防火牆係通過篩選資料來保護網絡,VPN則著重於網路的不可追踪性,相關工具軟體可以藉由改變上網者IP和地理位置,避免被追蹤的可能性,因此增加偵查困難。

Photo by Markus Spiske, UnsplashPhoto by Markus Spiske, Unsplash


4. 電信服務商或犯罪證據備援於國外:偵辦跨國性詐騙集團時,常會遇到Call Center位於國外,詐騙話務於國外電信業者下車後,再經電信網路與國內固網或行動通訊電信業者介接至被叫端。因為Call Center位於國外,追查需國外電信及司法單位配合,要是遇到該國處理態度不夠積極時,就容易出現偵查斷點。

整體而言,電腦鑑識工作就是透過專業分析,找出重要的關鍵線索,進而協助破案。然而網路世界發達導致犯罪手法日新月異,增加偵查難度,例如近年的虛擬貨幣偵查即屬此類,因此治安單位面臨科技犯罪挑戰將會更加嚴峻,只有持續不斷投資人力與更新設備,才能與犯罪者相對抗。


作者簡介

中央警察大學鑑識科學研究所碩士,犯罪防治所刑事司法組博士,現任臺灣警察專科學校科技偵查科專任副教授、美國警察人員測謊協會會員,中山醫學大學、東吳大學兼任副教授。專長為刑案現場勘查處理、犯罪偵查、刑事鑑識、測謊偵查等工作。目前除警校教學工作外,亦協助各執法單位犯罪偵查教育訓練工作,另亦與執法單位合作開發新式測謊技術中 
警察職權行使法逐條釋論(2版)

警察職權行使法逐條釋論(2版)

警察職權行使的界限

警察職權行使的界限

警察職權行使法概論(3版)

警察職權行使法概論(3版)

就是這本刑事訴訟法體系+解題書

就是這本刑事訴訟法體系+解題書

刑事訴訟法研析(上)

刑事訴訟法研析(上)

刑事訴訟法研析(下)

刑事訴訟法研析(下)

上下則文章

主題推薦RELATED STORIES

  • 這些小說的設定,會不會太狂?

    主角穿越成為掃地機器人、前男友的遺言是把財產留給兇手、7條故事線同時進行的推理小說......嶄新的設定、猜不透的劇情,這些小說要掀翻你的既定認知!

    1902 0

回文章列表

關閉

主題推薦

這些小說的設定,會不會太狂?

主角穿越成為掃地機器人、前男友的遺言是把財產留給兇手、7條故事線同時進行的推理小說......嶄新的設定、猜不透的劇情,這些小說要掀翻你的既定認知!

1902 0