C161
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View C161 as PDF for free.
More details
- Words: 1,074
- Pages: 13
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替 人植入木馬破解密碼入侵案件為例 林宜隆 1、歐啟銘 2 1 中央警察大學資訊管理學系 教授 2 中央警察大學資訊管理學系 研究生
摘
要
網際網路的迅速發展之下,為我們帶來了許多便利,許多生活上所需要的東西都可以從網 路上取得,例如:網路購物、網路轉帳等…但隨著這些便利的網路應用,也使得一些人利用這 些便利做一些非法的應用。 許多案例是員工監守自盜,將客戶的個人資料賣給詐騙集團,也有些因為公司或機關保護 客戶個人資料不夠周全,讓駭客透過網路或是其他方式,竊取客戶個人資料。 被駭客入侵後,如何取得駭客再受害者電腦做了什麼事,以及駭客從何而來,並且將這些 證據可以作為法庭上證據,證明自己被攻擊,以及透過這些證據抓到攻擊者,也是非常重要的。 本研究採用國內、外執法機關使用的 Encase、FTK 及 Helix,作為研究的主要鑑識工具, 並比較相關數位鑑識工具,使用框架理論分析真實案例,透過案例驗證數位證據處理原則及工 具的完整性、一致性、正確性。 關鍵詞:網路犯罪、數位鑑識、駭客入侵
1670
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1,2 Department of Information Management Center Police University
ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are
embanks, network auctions, web-cams and the
internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encase、FTK、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords:cybercrime、cyber forensic、Trojan Horse
1671
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
1.前言 1.1 研究動機 隨著資訊科技的發展,網際網路已經成為人類生活、工作上不可缺少的一部分,使用 者增多,各種更多的應用在網路上發展,帶給人們更多的便利,但是也帶來許多網路上的 犯罪,例如:病毒攻擊、詐欺、恐嚇、毀謗、軍火販賣、色情。 電腦病毒和惡意木馬程式氾濫、網路詐欺(Phishing)、駭客攻擊(如大陸駭客攻擊事 件,蘇姓駭客攻擊大考中心事件)的性質已經和幾年前大不相同,不再以單純攻擊為目的, 而是逐漸走向“營利"。我們如何面對如大陸駭客大戰、木馬後門程式猖獗的網路環境, 從事前的防護與偵測、事中的追蹤與紀錄、事後的復原與追查等角度探討有關此類資通安 全的議題也相形重要。 這些犯罪,有的技術性高不易抓到嫌犯,有的技術性低容易抓到,但都存在一個問題, 找到該嫌犯之後,如何藉由專業電腦鑑識人員,證明證據是來自原本的證物,且沒有被修 改過,證物在分析時沒有被破壞,以達到證據是有證據力,如何去定他的罪,這就仰賴電 腦鑑識人員,利用鑑識工具及標準程序,去蒐集相關證據,並且交給法官審查。
1.2 研究目的 數位證據的四個特性: (1) 容易複製 (2) 能無痕跡的修改 (3) 不易證實其來源及製作人難以確定 (4) 非屬人類可直接感知、理解的內容。 為了克服數位證據的幾個特性,必須遵守數位鑑識的一些標準程序,證明證據事來自 原本的證物,且沒有被修改過,證物在鑑識時沒有被破壞,以達到證據是有證據力的,可 以被法官採信的,本研究採用在法庭上具有相當高的接受度,以及大多數數位鑑識專家推 薦,美國 FBI 鑑識實驗室所採用的 Encase、FTK 及 Heilx 這三套數位鑑識軟體,來作為實 驗的鑑識工具。
1. 數位鑑識工具與案例分析 2.1 鑑識工具 Encase、FTK 及 Heilx 介紹 Encase 為 Guidance software(http://www.guidancesoftware.com/)這家公司所推 出,Guidance software 本身也提供了許多認證課程,供數位鑑識人員來學習,EnCase 在 法庭上具有相當高的接受度,已累積不少個案歷史。它支援不同類型作業系統證據擷取、 檔案系統、儲存媒體,甚至是在運行中的系統進行鑑識。Encase 軟體被美國知名資訊安 全雜誌{SC Magazine}評鑑為五顆星,最新改版的 Encase 企業版,可協助企業安全並徹底 進行內部調查,為目前應用最廣,最多數位鑑識單位所採用的整合性數位鑑識軟體,例如: 美國 FBI 鑑識實驗室採用 Encase 作為其作數位鑑識的工具。 AccessData 的 Forensic Tool Kit (FTK)( http://www.accessdata.com/)是 UTK 中
1672
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 最主要的工具,已經逐漸為執法人員與民間企業所接受,其處理電子郵件證據功能可以說 是相當優秀,尤其是電子郵件已經逐漸成為電腦犯罪 判決的關鍵證物,FTK 可以迅速地 從磁碟影像中過濾出所有的電子郵件,擷取出郵件中所包含影像檔以及可供檢索的資訊, 這是鑑識工具中首屈一指的分析功能。 同時,FTK 也可以產生一份圖文並茂的完整鑑識 報告。 e-fense(http://www.e-fense.com)這家公司主要從事數位鑑識、電腦安全,以及相 關的訓練,Helix是他們發展整合Knoppix套件的一套鑑識工具,數位鑑識和事件回報的, 開放原始碼的Live-Linux光碟套件,e-fense也定期更新維護,有免費版的軟體提供在網 路上讓大家下載,支援windows以及Unix like系統的相關鑑識,是一個live cd,也可以 直接在電腦執行,也可針對運行中或已關機的系統進行分析,因為它是Linux平台的產物, 當然支援Ext2/Ext3 的檔案系統,以及支援一些比較少見的ReiserFS、JFS與XFS檔案系統。 Helix 最大的特點在於,如果透過它的光碟開機,Helix 不會掛載任何硬碟上面的分 割區,而且是以唯讀模式開啟硬碟上的資訊,Helix 不會動到 swap space 也就是說可以 確保不會改變証據現場。
2.2 使用框架理論分析職業駭客專門替人植入木馬破解密碼入侵案件 透過框架理論分析,將此案例以結構化方式的呈現(林宜隆,2001),將此案例重要的 資訊,能讓人容易去了解,並容易分析其重要的資訊,如表 1。 表 1 框架理論分析
犯罪時間
民國 95 年 12 月 24 日起
犯罪地點
高雄縣
犯罪事實
1.嫌疑人洪○顗於網路上找尋有需求之網友(如:懷疑另一半 劈腿、分手之男女朋友或藉用得來之秘密進行勒贖恐嚇等) ,提 供破解密碼服務。經破解方式係將木馬程式以圖片檔、文件檔 或螢幕保護程式檔包裹,使被害人執行後,電腦即遭駭客入侵, 側錄所有電磁紀錄;委託人藉由該木馬亦可以輕易窺看對方之 電子郵件、msn、Yahoo 即時通等電磁記錄,由此賺取高額利益。
犯罪者剖析
1.嫌犯利用人欲探刺他人內心世界的人性弱點,在網路言版上 張貼多篇以『帳號密碼破解服務諮詢』為標題,稱其能遠端監 控、破解 msn、即時通、email 及提供遠端監控管理教學等服務 的留言,販售給感情生變的男女使用。 2.嫌犯雖為任職於某上市公司工程師,但所使用的木馬程式仍 是向大陸駭客購買木馬程式,再轉賣教授其他有需要的網友, 其行為僅能稱作工具小子 Tools Kiddies(使用自動化工具入 侵資訊系統的人)仍未達怪客 Cracker(自行撰寫程式、惡意 侵入或破壞系統的人,且常會破壞重要的資料並引發系統的問 題) 。
1673
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 損害
1.造成被害人電子郵件、msn、Yahoo 即時通等電磁記錄隱私的 外洩,部份私密資料可能籍此外流,造成被害人身心重大創傷。 2.由於尚未有明確的跡證顯示使用於商業用途(進行商業間諜 竊取重大商業機密)的行為,因此尚無商業損失的跡象。
起訴移送
1.妨害秘密罪依刑法 315 條。 2.竊取他人電磁紀錄依刑法 359 條。 3.無故侵入他人電腦依刑法第 358 條。
犯罪流程
1.向大陸駭客購入駭客工具光碟 2.購買人頭戶,提供買主匯款 3.上網留言招攬想要窺探被害者隱私的購買者 4.買主匯款至嫌犯購買的人頭戶中 4.進行各種程式密碼破解,盜取個人資料等。
偵查流程
1. 偵九隊幹員執行網路巡邏 2. 發現某一留言版上張貼多篇駭客相關留言 3. 幹員佯裝網友與其攀談,確認確實從事收 4. 追查該相關帳號 5. 查出該名署名 Greek 之駭客,確有入侵多名網友電腦及帳號 之紀錄 6. 聲請搜索票搜索拘提
查獲贓證物
電腦設備及週邊設備 1 組、木馬程式光碟等不法贓證物
偵辦單位
刑事警察局偵九隊。
3.鑑識流程及過程模擬 3.1 鑑識流程 以 Eoghan Casey 的數位證據指導原則為: 一、 數位證據辨識
二、數位證物之保存與記載
三、 證據之分類、比對、個化
四、犯罪重建
依據上述的指導原則,本研究鑑識流程如圖 1。 1.嫌犯相關硬體及軟體設備,可拆式儲存設備,如隨身碟、軟碟,附近的 報表纸,以及連接的網路設備。 2.現場全程蒐證過程錄影,及對重要畫面錄影,及嫌犯住所錄影。
3.查扣整部電腦,以及相關設備,及可拆式儲存設備,如隨身碟、軟碟。 4.保存時注意溫度以及是否有電磁波損害紀錄。
1674
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 5.拷貝兩份電腦證物,對證物加以標記時間、搜查人員、相關事項,將嫌 犯磁碟做 bit stream copy,及映像檔。 6.以兩種鑑識工具,對影像檔做分析,及證據的分類,將作業系統,檔案 類型進行分類。 7.搜尋可疑數位證據。 8.找到可疑證據,並且做更詳細檢測,已找到相關證據。 9.犯罪重建。 10.將相關證據,所能代表意義寄下來,且在法庭上給法官看,解釋數位證 圖 1 本研究鑑識流程
3.2 鑑識過程 將作成嫌犯電腦的 image 檔,下面將使用兩套鑑識軟體 Encase 及 FTK,分別對該檔 案作鑑識工作,以下是使用該兩套軟體的鑑識過程。 使用 Encase 做鑑識: 將可疑檔案以 Encase 做鑑識,打開 encase 後,對擷取之嫌犯電腦映像檔鑑識。如圖 2 。對嫌犯的電腦磁碟狀況做分析,並搜尋其相關有問題之檔案,如圖 3。對該映像檔, 特定的資料夾做鑑識,並製作 image 檔,並新建認為有嫌疑的資料夾,如圖 4。 產生該資料夾的鑑識報告,如圖 5。對該資料夾做 HASH 值,如圖 6。 於搜尋磁碟時發現另一可疑檔案,該檔案與第一個檔案幾乎相同,唯一不同點在於檔 案大小略有不同,懷疑此於嫌犯將木馬夾藏在圖片的圖片檔,如圖 7。對該資料夾做 HASH 值,發現與原本資料夾(可疑檔 1),雖然大小相同,圖名稱一樣,但是 hash 值不同,可以 得之兩個檔案有不同處,所以對其進行交叉比對,及進行更深入鑑識,發現其裡面藏有木 馬程式,與網路上散佈之木馬相同,如圖 8。
圖 2 擷取之嫌犯電腦映像檔
圖 3 電腦磁碟狀況做分析
1675
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
圖 4 特定的資料夾做鑑識
圖 5 鑑識報告
圖 6 做 HASH
圖 7 懷疑此於嫌犯將木馬夾藏在圖片
圖 8 發現其裡面藏有木馬程式
使用 FTK 作鑑識工作: 將可疑檔案以 FTK 做鑑識,打開 FTK 後,對以擷取之嫌犯電腦映像檔鑑識,輸入鑑 識檔案的編號,以及鑑識人員姓名,並做搜尋,搜尋後發現,該數位證據資料夾有重大嫌 疑,並繼續進行相關檢索、處理,如圖 9。點選有嫌疑之檔案,並瀏覽該檔案,如圖 10。 對該資料夾做搜尋,看是否有嫌疑之檔案,搜尋所用關鍵字為 ec,發現找到該資料夾, 裡面十個檔案裡都有相關證據,上圖為搜尋之結果,如圖 11。該十個檔案之 hash 值,如 圖 12。由嫌犯電腦理發現有另一組圖片,認為可疑,進行交叉比對,將該圖檔作 hash,並
1676
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 與原本的圖檔作比對,如圖 13。對這批檔案作 HASH,比較第一張圖與原本圖的 MD5 Hash 值,發現不一樣,認為有可疑,所以進行更深入鑑識,發現其裡面藏有木馬程式,與網路 上散佈之木馬相同,如圖 14。
圖 9 擷取之嫌犯電腦映像檔鑑識
圖 10 瀏覽該檔案
圖 11 對該資料夾做搜尋
圖 12 hash 值
圖 13 交叉比對
圖 14 進行更深入鑑識
使用 Helix 對木馬程式色情圖片大量側錄帳號密碼案嫌犯映像檔作鑑識工作: 將可疑檔案以 Helix 做鑑識,打開 Helix 後,對以擷取之嫌犯電腦映像檔鑑識,先查 看嫌犯系統相關資訊,硬碟大小、網路狀態如圖 15。蒐集嫌犯記憶體(ram)的證據,察看 記憶體裡面的內容,是否有值得注意的證據,如圖 16。 Windows Forensic Toolchest (WFT)所產生的鑑識報告,包含系統開始的時間,記憶體 的 dump 值 dd,檔案的時間戳記,包含最後存取時間,最後段的時間,最後修改的時間,
1677
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 以及系統及網路的一些資訊。有哪些 Process 執行,以及一些 process 的相關資訊,和驅動 程式,網路的資訊,如:本機網路狀態、arp、route 的狀態如圖 17。 使用 Helix 裡面的 Pc Inspector 工具,復原被刪除的檔案。找到嫌犯電腦裡刪除的檔 案,並且將他復原,找到一個名為木馬圖片的檔案資料夾如圖 18。尋找嫌犯 cookie 的資 訊,尋找嫌犯上網的資訊如圖 19。尋找嫌犯的 registry key,查看嫌犯的登錄檔如圖 20。 使用 Helix 的密碼觀看工具,可以把原本是***號的密碼顯示出來,尋找嫌犯 ftp 帳號以及 相關信箱帳號密碼,找尋嫌犯是否使用 ftp 上傳圖片,或是使用信箱與受害網友連絡。 使用 Helix 的 msn 密碼工具,只顯示出帳號,沒有得到密碼如圖 21。觀看嫌犯上網所 下的關鍵字,以及帳號密碼,並且由這些找尋嫌犯,上網 po 夾藏木馬程式的圖片的線索 如圖 22。 搜尋嫌犯電腦,關鍵字為 ec,尋找到了兩個資料夾,發現裡面有多張圖片,與被害者, 在網路上下載的圖片相同, 經過比對嫌犯上網 po 圖的時間,與網路上夾藏木馬圖片被 po 上網的時間相同,且搜查嫌犯電子信箱,發現嫌犯有與網拍受害者的一些詐騙資訊, 所以找到嫌犯作案的證據,並且結合其它相關實體證據,確定為嫌犯所做如圖 23。
圖 15 查看嫌犯系統相關資訊,硬碟大小、網
圖 16 蒐集嫌犯記憶體(ram)的證據
路狀態
圖 17 WFT 所產生的鑑識報告
圖 18 復原嫌犯電腦裡刪除的檔案,找到一名 為木馬圖片的檔案資料夾
1678
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
圖 19:尋找嫌犯 cookie 的資訊,尋找嫌犯上
圖 20:尋找嫌犯的 registry key,查看嫌犯的登
網的資訊
錄檔
圖 21:使用 Helix 的 msn 密碼工具,只顯示
圖 22:觀看嫌犯上網所下的關鍵字,以及帳號
出帳號,沒有得到密碼
密碼
圖 23:搜尋嫌犯電腦,關鍵字為 ec,尋找到 了兩個資料夾
Encase 做鑑識所得之相關證據: A.
嫌犯硬碟相關資訊,何時對硬碟存取。
B.
由 Encase 對該木馬資料夾的報告得出,該資料夾所位於硬碟磁區位置。
C.
透過 hash 值的不同,找到木馬程式。
FTK 做鑑識所得之相關證據: A.
透過搜尋功能,找到可疑圖片。
1679
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 B.
透過 hash 值的不同,找到木馬程式。
Helix 做鑑識所得之相關證據: A. 嫌犯的電腦資訊。 B. C. D.
嫌犯網路的相關訊息,如本機網路設定、route、ARP 等資料。 嫌犯 Cookie 的資料,以及上網紀錄。 嫌犯的一些上網的密碼,如信箱、msn、FTP 等…。 表 2. 三套軟體之比較
Encase5.0
FTK
Helix
中 文 化 介 有,且是繁體中文, 有,但只有簡體中文 面
沒有
但翻譯的不是非常 好
操作介面
如 果 沒 有 詳 細 閱 讀 較為容易操作。
簡單易上手。類似網頁的
操作說明書,許多功
介面,每一個工具針對特
能不知道如何使
定鑑識功能。
用。例如他的搜尋功 能需要另外匯入。 檢 查 磁 碟 可,以圖形化介面呈 可,但是表達之介面, 可,但是表達之介面,沒 相關資訊
現,關於該磁碟成經 沒有 Encase5.0,來的清 有 Encase5.0,來的清楚。 做過的相關動作,皆 楚。 能清楚看到。
證物的保 有
有
有
有 MD5
有 MD5
存,做映 像檔 證 物 比 有 MD5 對,產生 hash 值 證據呈現
較 佳 , 讓 人 較 容 易 一開始就經過,FTK 分 與 Encase、FTK 有不同的 看,如 4.3 Encase 的 類,讓鑑識工作者能暸 證據呈現方式。 鑑識報告。
解目前要鑑識的電腦裡 有哪些不同檔案類型的 資料。
搜 尋 相 關 可,但是必須另外匯 可,且介面較為簡單, 有,但功能沒有 Encase、 關鍵字
入關鍵字,操做上較 容易操作搜尋動作。
FTK 強,例如:沒有特別
為不易,必須對
針對 slack space 的搜尋。
Encase 有 一 定 經 驗 才會操作
1680
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 網站支援
有
有
有
使用者瀏 無
無
有、且操作簡單
價格昂貴
自由軟體,任何人均可在
覽過的網 頁、密碼 等相關鑑 識輔助小 程式 取 得 的 容 價格昂貴 易度
網路上下載
本 研 究 認 圖 形 化 呈 現 硬 碟 資 證據的種類分類
密碼破解軟體,及網路紀
為 最 大 的 訊的功能
錄瀏覽工具
優點 本研究發現,在目前執法機關、數位鑑識專家、數位鑑識廠商,較常使用的 Encase、 FTK、Helix,這三套鑑識工具,各自擁有各自的鑑識特色,鑑識需要的功能也大都具備, 只是各自擅長的鑑識特色不同,認為三套軟體可以交互使用,在不同鑑識階段使用不同工 具,利用各工具再不同階段的優缺點,可以幫助鑑識工作者得到較佳的鑑識結果。 一、 Encase 圖形化呈現硬碟資訊的功能是本研究認為其最大的特色,也是三套鑑識 工具在硬碟資訊上表達的最好的一套,而且他在美國法院數位鑑識,也累積了 相當的案例,以及對他鑑識出來的結果,有一定的信賴。 但 Encase 的缺點是必須深入的瞭解、研究或是上過 Guidance software 的相 關與 Encase 相關的課程,才能將他所提供的功能發揮到極致,並且正確的解釋 他的意義,還有一個缺點就是,Encase 的價格昂貴,一般數位鑑識研究者難以 負擔,必須是執法機關,或是規模較大,在數位鑑識方面有專門部門的公司, 才會以及有能力購買。 二、 FTK 的特色在於其資料庫式的資訊架構。當一項磁碟或分割區的副本被匯入 時,FTK 就針對這個檔案進行掃瞄與建立索引,產生一個案件資料庫。鑑識人 員 可以針對資料庫進行字串搜尋、重新排序或匯出在磁碟副本中的任何一個檔 案,而不需重新掃瞄整個磁碟副本。 本研究案例分析實做認為 FTK 最大的優點在於證據的種類分類,讓鑑識工 作者很快就能知道數位鑑識目標有哪些種類的證據,缺點是必須深入的瞭解、 研究或是上過 FTK 的課程,才能將他所提供的功能發揮到極致,並且正確的解 釋他的意義,還有一個缺點就是,FTK 的價格昂貴,一般數位鑑識研究者難以 負擔,必須是執法機關,或是規模較大,在數位鑑識方面有專門部門的公司, 才會以及有能力購買。 三、 第三套綜合性鑑識工具 Helix,本研究認為這是一套非常適和一般數位鑑識研究 者使用的數位鑑識工具,他最大的優點在於免費,以及他提供了非常多的數位
1681
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 鑑識小工具,例如網頁密碼察看,*密碼察看、rootkit 搜尋,這些實用的小工具, 在本研究做數位鑑識工作時,讓我找到了許多有趣的發現。 缺點則是數位鑑識證據的分類較差,以及表現硬碟的呈現介面也沒有前面 兩套軟體好,但本研究認為,Helix 是一套不錯的綜合性數鑑識工具。 四、 本研究認為三套軟體可以交互使用,三套鑑識軟體在不同鑑識階段各有各的擅 長功能,且有其特殊功能是其他鑑識軟體所沒有的,本研究列出三套軟體擅長 的鑑識功能,以及他們的優缺點,以利未來鑑識工作者,能有一指引平台,瞭 解工具在不同階段的優缺點,讓使用者可以交互使用這些工具。 參考文獻: 1.
林宜隆、蔡宜縉、歐啟銘,數位工具之比較,第九屆「網際空間:資訊、法律與 社會」學術研究暨實務研討會論文集,2007。
2.
林宜隆、陳蕾琪,數位證據初探,第三屆「網際空間:資訊、法律與社會」學術 研究暨實務研討會論文集,2001。
3.
林宜隆,網際網路與犯罪問題之研究,2001。
4.
林一德、陳志龍,電子數位資料於證據法上之研究,1999。
5.
王朝煌,數位證物之鑑識與蒐證,警學叢刊第三十四卷。
6.
曾煒鈞,網路犯罪偵查之蒐證、鑑識及反溯設計之研究,2003。
7.
Eoghan Casey, Handbook of computer crime investigation, Acamedic Press, 2002.
8.
資安人網站,資通安全鑑識實驗室建置要項—美國鑑識實驗室之現況 http://www.isecutech.com.tw/feature/view.asp?fid=188。
9.
Encase 使用手冊,及網站http://www.encase.com/。
10. FTK網站,http://www.accessdata.com/。 11. 刑事局網站,http://www.cib.gov.tw/news/news.aspx。
12. Helix網站, http://www.e-fense.com 。 13. 錢世傑、錢世豐、劉嘉明、張紹斌/著,電腦鑑識與企業安全,2004。 14. Eoghan Casey, Digital Evidence and Computer Crime Second Edition,academic press 2004. 15. Eoghan Casey, Handbook of computer crime investigation,Acamedic Press, 2002.
1682
數位鑑識工具之比較 --以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替 人植入木馬破解密碼入侵案件為例 林宜隆 1、歐啟銘 2 1 中央警察大學資訊管理學系 教授 2 中央警察大學資訊管理學系 研究生
摘
要
網際網路的迅速發展之下,為我們帶來了許多便利,許多生活上所需要的東西都可以從網 路上取得,例如:網路購物、網路轉帳等…但隨著這些便利的網路應用,也使得一些人利用這 些便利做一些非法的應用。 許多案例是員工監守自盜,將客戶的個人資料賣給詐騙集團,也有些因為公司或機關保護 客戶個人資料不夠周全,讓駭客透過網路或是其他方式,竊取客戶個人資料。 被駭客入侵後,如何取得駭客再受害者電腦做了什麼事,以及駭客從何而來,並且將這些 證據可以作為法庭上證據,證明自己被攻擊,以及透過這些證據抓到攻擊者,也是非常重要的。 本研究採用國內、外執法機關使用的 Encase、FTK 及 Helix,作為研究的主要鑑識工具, 並比較相關數位鑑識工具,使用框架理論分析真實案例,透過案例驗證數位證據處理原則及工 具的完整性、一致性、正確性。 關鍵詞:網路犯罪、數位鑑識、駭客入侵
1670
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the case for the example Lin I-Long 1、Ou Chi Ming2* 1,2 Department of Information Management Center Police University
ABSTRACT The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are
embanks, network auctions, web-cams and the
internet phone. However, many internet crimes and problems also spawned along the side. One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers. It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker. The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encase、FTK、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case. Keywords:cybercrime、cyber forensic、Trojan Horse
1671
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
1.前言 1.1 研究動機 隨著資訊科技的發展,網際網路已經成為人類生活、工作上不可缺少的一部分,使用 者增多,各種更多的應用在網路上發展,帶給人們更多的便利,但是也帶來許多網路上的 犯罪,例如:病毒攻擊、詐欺、恐嚇、毀謗、軍火販賣、色情。 電腦病毒和惡意木馬程式氾濫、網路詐欺(Phishing)、駭客攻擊(如大陸駭客攻擊事 件,蘇姓駭客攻擊大考中心事件)的性質已經和幾年前大不相同,不再以單純攻擊為目的, 而是逐漸走向“營利"。我們如何面對如大陸駭客大戰、木馬後門程式猖獗的網路環境, 從事前的防護與偵測、事中的追蹤與紀錄、事後的復原與追查等角度探討有關此類資通安 全的議題也相形重要。 這些犯罪,有的技術性高不易抓到嫌犯,有的技術性低容易抓到,但都存在一個問題, 找到該嫌犯之後,如何藉由專業電腦鑑識人員,證明證據是來自原本的證物,且沒有被修 改過,證物在分析時沒有被破壞,以達到證據是有證據力,如何去定他的罪,這就仰賴電 腦鑑識人員,利用鑑識工具及標準程序,去蒐集相關證據,並且交給法官審查。
1.2 研究目的 數位證據的四個特性: (1) 容易複製 (2) 能無痕跡的修改 (3) 不易證實其來源及製作人難以確定 (4) 非屬人類可直接感知、理解的內容。 為了克服數位證據的幾個特性,必須遵守數位鑑識的一些標準程序,證明證據事來自 原本的證物,且沒有被修改過,證物在鑑識時沒有被破壞,以達到證據是有證據力的,可 以被法官採信的,本研究採用在法庭上具有相當高的接受度,以及大多數數位鑑識專家推 薦,美國 FBI 鑑識實驗室所採用的 Encase、FTK 及 Heilx 這三套數位鑑識軟體,來作為實 驗的鑑識工具。
1. 數位鑑識工具與案例分析 2.1 鑑識工具 Encase、FTK 及 Heilx 介紹 Encase 為 Guidance software(http://www.guidancesoftware.com/)這家公司所推 出,Guidance software 本身也提供了許多認證課程,供數位鑑識人員來學習,EnCase 在 法庭上具有相當高的接受度,已累積不少個案歷史。它支援不同類型作業系統證據擷取、 檔案系統、儲存媒體,甚至是在運行中的系統進行鑑識。Encase 軟體被美國知名資訊安 全雜誌{SC Magazine}評鑑為五顆星,最新改版的 Encase 企業版,可協助企業安全並徹底 進行內部調查,為目前應用最廣,最多數位鑑識單位所採用的整合性數位鑑識軟體,例如: 美國 FBI 鑑識實驗室採用 Encase 作為其作數位鑑識的工具。 AccessData 的 Forensic Tool Kit (FTK)( http://www.accessdata.com/)是 UTK 中
1672
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 最主要的工具,已經逐漸為執法人員與民間企業所接受,其處理電子郵件證據功能可以說 是相當優秀,尤其是電子郵件已經逐漸成為電腦犯罪 判決的關鍵證物,FTK 可以迅速地 從磁碟影像中過濾出所有的電子郵件,擷取出郵件中所包含影像檔以及可供檢索的資訊, 這是鑑識工具中首屈一指的分析功能。 同時,FTK 也可以產生一份圖文並茂的完整鑑識 報告。 e-fense(http://www.e-fense.com)這家公司主要從事數位鑑識、電腦安全,以及相 關的訓練,Helix是他們發展整合Knoppix套件的一套鑑識工具,數位鑑識和事件回報的, 開放原始碼的Live-Linux光碟套件,e-fense也定期更新維護,有免費版的軟體提供在網 路上讓大家下載,支援windows以及Unix like系統的相關鑑識,是一個live cd,也可以 直接在電腦執行,也可針對運行中或已關機的系統進行分析,因為它是Linux平台的產物, 當然支援Ext2/Ext3 的檔案系統,以及支援一些比較少見的ReiserFS、JFS與XFS檔案系統。 Helix 最大的特點在於,如果透過它的光碟開機,Helix 不會掛載任何硬碟上面的分 割區,而且是以唯讀模式開啟硬碟上的資訊,Helix 不會動到 swap space 也就是說可以 確保不會改變証據現場。
2.2 使用框架理論分析職業駭客專門替人植入木馬破解密碼入侵案件 透過框架理論分析,將此案例以結構化方式的呈現(林宜隆,2001),將此案例重要的 資訊,能讓人容易去了解,並容易分析其重要的資訊,如表 1。 表 1 框架理論分析
犯罪時間
民國 95 年 12 月 24 日起
犯罪地點
高雄縣
犯罪事實
1.嫌疑人洪○顗於網路上找尋有需求之網友(如:懷疑另一半 劈腿、分手之男女朋友或藉用得來之秘密進行勒贖恐嚇等) ,提 供破解密碼服務。經破解方式係將木馬程式以圖片檔、文件檔 或螢幕保護程式檔包裹,使被害人執行後,電腦即遭駭客入侵, 側錄所有電磁紀錄;委託人藉由該木馬亦可以輕易窺看對方之 電子郵件、msn、Yahoo 即時通等電磁記錄,由此賺取高額利益。
犯罪者剖析
1.嫌犯利用人欲探刺他人內心世界的人性弱點,在網路言版上 張貼多篇以『帳號密碼破解服務諮詢』為標題,稱其能遠端監 控、破解 msn、即時通、email 及提供遠端監控管理教學等服務 的留言,販售給感情生變的男女使用。 2.嫌犯雖為任職於某上市公司工程師,但所使用的木馬程式仍 是向大陸駭客購買木馬程式,再轉賣教授其他有需要的網友, 其行為僅能稱作工具小子 Tools Kiddies(使用自動化工具入 侵資訊系統的人)仍未達怪客 Cracker(自行撰寫程式、惡意 侵入或破壞系統的人,且常會破壞重要的資料並引發系統的問 題) 。
1673
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 損害
1.造成被害人電子郵件、msn、Yahoo 即時通等電磁記錄隱私的 外洩,部份私密資料可能籍此外流,造成被害人身心重大創傷。 2.由於尚未有明確的跡證顯示使用於商業用途(進行商業間諜 竊取重大商業機密)的行為,因此尚無商業損失的跡象。
起訴移送
1.妨害秘密罪依刑法 315 條。 2.竊取他人電磁紀錄依刑法 359 條。 3.無故侵入他人電腦依刑法第 358 條。
犯罪流程
1.向大陸駭客購入駭客工具光碟 2.購買人頭戶,提供買主匯款 3.上網留言招攬想要窺探被害者隱私的購買者 4.買主匯款至嫌犯購買的人頭戶中 4.進行各種程式密碼破解,盜取個人資料等。
偵查流程
1. 偵九隊幹員執行網路巡邏 2. 發現某一留言版上張貼多篇駭客相關留言 3. 幹員佯裝網友與其攀談,確認確實從事收 4. 追查該相關帳號 5. 查出該名署名 Greek 之駭客,確有入侵多名網友電腦及帳號 之紀錄 6. 聲請搜索票搜索拘提
查獲贓證物
電腦設備及週邊設備 1 組、木馬程式光碟等不法贓證物
偵辦單位
刑事警察局偵九隊。
3.鑑識流程及過程模擬 3.1 鑑識流程 以 Eoghan Casey 的數位證據指導原則為: 一、 數位證據辨識
二、數位證物之保存與記載
三、 證據之分類、比對、個化
四、犯罪重建
依據上述的指導原則,本研究鑑識流程如圖 1。 1.嫌犯相關硬體及軟體設備,可拆式儲存設備,如隨身碟、軟碟,附近的 報表纸,以及連接的網路設備。 2.現場全程蒐證過程錄影,及對重要畫面錄影,及嫌犯住所錄影。
3.查扣整部電腦,以及相關設備,及可拆式儲存設備,如隨身碟、軟碟。 4.保存時注意溫度以及是否有電磁波損害紀錄。
1674
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 5.拷貝兩份電腦證物,對證物加以標記時間、搜查人員、相關事項,將嫌 犯磁碟做 bit stream copy,及映像檔。 6.以兩種鑑識工具,對影像檔做分析,及證據的分類,將作業系統,檔案 類型進行分類。 7.搜尋可疑數位證據。 8.找到可疑證據,並且做更詳細檢測,已找到相關證據。 9.犯罪重建。 10.將相關證據,所能代表意義寄下來,且在法庭上給法官看,解釋數位證 圖 1 本研究鑑識流程
3.2 鑑識過程 將作成嫌犯電腦的 image 檔,下面將使用兩套鑑識軟體 Encase 及 FTK,分別對該檔 案作鑑識工作,以下是使用該兩套軟體的鑑識過程。 使用 Encase 做鑑識: 將可疑檔案以 Encase 做鑑識,打開 encase 後,對擷取之嫌犯電腦映像檔鑑識。如圖 2 。對嫌犯的電腦磁碟狀況做分析,並搜尋其相關有問題之檔案,如圖 3。對該映像檔, 特定的資料夾做鑑識,並製作 image 檔,並新建認為有嫌疑的資料夾,如圖 4。 產生該資料夾的鑑識報告,如圖 5。對該資料夾做 HASH 值,如圖 6。 於搜尋磁碟時發現另一可疑檔案,該檔案與第一個檔案幾乎相同,唯一不同點在於檔 案大小略有不同,懷疑此於嫌犯將木馬夾藏在圖片的圖片檔,如圖 7。對該資料夾做 HASH 值,發現與原本資料夾(可疑檔 1),雖然大小相同,圖名稱一樣,但是 hash 值不同,可以 得之兩個檔案有不同處,所以對其進行交叉比對,及進行更深入鑑識,發現其裡面藏有木 馬程式,與網路上散佈之木馬相同,如圖 8。
圖 2 擷取之嫌犯電腦映像檔
圖 3 電腦磁碟狀況做分析
1675
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
圖 4 特定的資料夾做鑑識
圖 5 鑑識報告
圖 6 做 HASH
圖 7 懷疑此於嫌犯將木馬夾藏在圖片
圖 8 發現其裡面藏有木馬程式
使用 FTK 作鑑識工作: 將可疑檔案以 FTK 做鑑識,打開 FTK 後,對以擷取之嫌犯電腦映像檔鑑識,輸入鑑 識檔案的編號,以及鑑識人員姓名,並做搜尋,搜尋後發現,該數位證據資料夾有重大嫌 疑,並繼續進行相關檢索、處理,如圖 9。點選有嫌疑之檔案,並瀏覽該檔案,如圖 10。 對該資料夾做搜尋,看是否有嫌疑之檔案,搜尋所用關鍵字為 ec,發現找到該資料夾, 裡面十個檔案裡都有相關證據,上圖為搜尋之結果,如圖 11。該十個檔案之 hash 值,如 圖 12。由嫌犯電腦理發現有另一組圖片,認為可疑,進行交叉比對,將該圖檔作 hash,並
1676
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 與原本的圖檔作比對,如圖 13。對這批檔案作 HASH,比較第一張圖與原本圖的 MD5 Hash 值,發現不一樣,認為有可疑,所以進行更深入鑑識,發現其裡面藏有木馬程式,與網路 上散佈之木馬相同,如圖 14。
圖 9 擷取之嫌犯電腦映像檔鑑識
圖 10 瀏覽該檔案
圖 11 對該資料夾做搜尋
圖 12 hash 值
圖 13 交叉比對
圖 14 進行更深入鑑識
使用 Helix 對木馬程式色情圖片大量側錄帳號密碼案嫌犯映像檔作鑑識工作: 將可疑檔案以 Helix 做鑑識,打開 Helix 後,對以擷取之嫌犯電腦映像檔鑑識,先查 看嫌犯系統相關資訊,硬碟大小、網路狀態如圖 15。蒐集嫌犯記憶體(ram)的證據,察看 記憶體裡面的內容,是否有值得注意的證據,如圖 16。 Windows Forensic Toolchest (WFT)所產生的鑑識報告,包含系統開始的時間,記憶體 的 dump 值 dd,檔案的時間戳記,包含最後存取時間,最後段的時間,最後修改的時間,
1677
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 以及系統及網路的一些資訊。有哪些 Process 執行,以及一些 process 的相關資訊,和驅動 程式,網路的資訊,如:本機網路狀態、arp、route 的狀態如圖 17。 使用 Helix 裡面的 Pc Inspector 工具,復原被刪除的檔案。找到嫌犯電腦裡刪除的檔 案,並且將他復原,找到一個名為木馬圖片的檔案資料夾如圖 18。尋找嫌犯 cookie 的資 訊,尋找嫌犯上網的資訊如圖 19。尋找嫌犯的 registry key,查看嫌犯的登錄檔如圖 20。 使用 Helix 的密碼觀看工具,可以把原本是***號的密碼顯示出來,尋找嫌犯 ftp 帳號以及 相關信箱帳號密碼,找尋嫌犯是否使用 ftp 上傳圖片,或是使用信箱與受害網友連絡。 使用 Helix 的 msn 密碼工具,只顯示出帳號,沒有得到密碼如圖 21。觀看嫌犯上網所 下的關鍵字,以及帳號密碼,並且由這些找尋嫌犯,上網 po 夾藏木馬程式的圖片的線索 如圖 22。 搜尋嫌犯電腦,關鍵字為 ec,尋找到了兩個資料夾,發現裡面有多張圖片,與被害者, 在網路上下載的圖片相同, 經過比對嫌犯上網 po 圖的時間,與網路上夾藏木馬圖片被 po 上網的時間相同,且搜查嫌犯電子信箱,發現嫌犯有與網拍受害者的一些詐騙資訊, 所以找到嫌犯作案的證據,並且結合其它相關實體證據,確定為嫌犯所做如圖 23。
圖 15 查看嫌犯系統相關資訊,硬碟大小、網
圖 16 蒐集嫌犯記憶體(ram)的證據
路狀態
圖 17 WFT 所產生的鑑識報告
圖 18 復原嫌犯電腦裡刪除的檔案,找到一名 為木馬圖片的檔案資料夾
1678
2008 數位科技與創新管理研討會 論文編號:161 資通安全組
圖 19:尋找嫌犯 cookie 的資訊,尋找嫌犯上
圖 20:尋找嫌犯的 registry key,查看嫌犯的登
網的資訊
錄檔
圖 21:使用 Helix 的 msn 密碼工具,只顯示
圖 22:觀看嫌犯上網所下的關鍵字,以及帳號
出帳號,沒有得到密碼
密碼
圖 23:搜尋嫌犯電腦,關鍵字為 ec,尋找到 了兩個資料夾
Encase 做鑑識所得之相關證據: A.
嫌犯硬碟相關資訊,何時對硬碟存取。
B.
由 Encase 對該木馬資料夾的報告得出,該資料夾所位於硬碟磁區位置。
C.
透過 hash 值的不同,找到木馬程式。
FTK 做鑑識所得之相關證據: A.
透過搜尋功能,找到可疑圖片。
1679
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 B.
透過 hash 值的不同,找到木馬程式。
Helix 做鑑識所得之相關證據: A. 嫌犯的電腦資訊。 B. C. D.
嫌犯網路的相關訊息,如本機網路設定、route、ARP 等資料。 嫌犯 Cookie 的資料,以及上網紀錄。 嫌犯的一些上網的密碼,如信箱、msn、FTP 等…。 表 2. 三套軟體之比較
Encase5.0
FTK
Helix
中 文 化 介 有,且是繁體中文, 有,但只有簡體中文 面
沒有
但翻譯的不是非常 好
操作介面
如 果 沒 有 詳 細 閱 讀 較為容易操作。
簡單易上手。類似網頁的
操作說明書,許多功
介面,每一個工具針對特
能不知道如何使
定鑑識功能。
用。例如他的搜尋功 能需要另外匯入。 檢 查 磁 碟 可,以圖形化介面呈 可,但是表達之介面, 可,但是表達之介面,沒 相關資訊
現,關於該磁碟成經 沒有 Encase5.0,來的清 有 Encase5.0,來的清楚。 做過的相關動作,皆 楚。 能清楚看到。
證物的保 有
有
有
有 MD5
有 MD5
存,做映 像檔 證 物 比 有 MD5 對,產生 hash 值 證據呈現
較 佳 , 讓 人 較 容 易 一開始就經過,FTK 分 與 Encase、FTK 有不同的 看,如 4.3 Encase 的 類,讓鑑識工作者能暸 證據呈現方式。 鑑識報告。
解目前要鑑識的電腦裡 有哪些不同檔案類型的 資料。
搜 尋 相 關 可,但是必須另外匯 可,且介面較為簡單, 有,但功能沒有 Encase、 關鍵字
入關鍵字,操做上較 容易操作搜尋動作。
FTK 強,例如:沒有特別
為不易,必須對
針對 slack space 的搜尋。
Encase 有 一 定 經 驗 才會操作
1680
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 網站支援
有
有
有
使用者瀏 無
無
有、且操作簡單
價格昂貴
自由軟體,任何人均可在
覽過的網 頁、密碼 等相關鑑 識輔助小 程式 取 得 的 容 價格昂貴 易度
網路上下載
本 研 究 認 圖 形 化 呈 現 硬 碟 資 證據的種類分類
密碼破解軟體,及網路紀
為 最 大 的 訊的功能
錄瀏覽工具
優點 本研究發現,在目前執法機關、數位鑑識專家、數位鑑識廠商,較常使用的 Encase、 FTK、Helix,這三套鑑識工具,各自擁有各自的鑑識特色,鑑識需要的功能也大都具備, 只是各自擅長的鑑識特色不同,認為三套軟體可以交互使用,在不同鑑識階段使用不同工 具,利用各工具再不同階段的優缺點,可以幫助鑑識工作者得到較佳的鑑識結果。 一、 Encase 圖形化呈現硬碟資訊的功能是本研究認為其最大的特色,也是三套鑑識 工具在硬碟資訊上表達的最好的一套,而且他在美國法院數位鑑識,也累積了 相當的案例,以及對他鑑識出來的結果,有一定的信賴。 但 Encase 的缺點是必須深入的瞭解、研究或是上過 Guidance software 的相 關與 Encase 相關的課程,才能將他所提供的功能發揮到極致,並且正確的解釋 他的意義,還有一個缺點就是,Encase 的價格昂貴,一般數位鑑識研究者難以 負擔,必須是執法機關,或是規模較大,在數位鑑識方面有專門部門的公司, 才會以及有能力購買。 二、 FTK 的特色在於其資料庫式的資訊架構。當一項磁碟或分割區的副本被匯入 時,FTK 就針對這個檔案進行掃瞄與建立索引,產生一個案件資料庫。鑑識人 員 可以針對資料庫進行字串搜尋、重新排序或匯出在磁碟副本中的任何一個檔 案,而不需重新掃瞄整個磁碟副本。 本研究案例分析實做認為 FTK 最大的優點在於證據的種類分類,讓鑑識工 作者很快就能知道數位鑑識目標有哪些種類的證據,缺點是必須深入的瞭解、 研究或是上過 FTK 的課程,才能將他所提供的功能發揮到極致,並且正確的解 釋他的意義,還有一個缺點就是,FTK 的價格昂貴,一般數位鑑識研究者難以 負擔,必須是執法機關,或是規模較大,在數位鑑識方面有專門部門的公司, 才會以及有能力購買。 三、 第三套綜合性鑑識工具 Helix,本研究認為這是一套非常適和一般數位鑑識研究 者使用的數位鑑識工具,他最大的優點在於免費,以及他提供了非常多的數位
1681
2008 數位科技與創新管理研討會 論文編號:161 資通安全組 鑑識小工具,例如網頁密碼察看,*密碼察看、rootkit 搜尋,這些實用的小工具, 在本研究做數位鑑識工作時,讓我找到了許多有趣的發現。 缺點則是數位鑑識證據的分類較差,以及表現硬碟的呈現介面也沒有前面 兩套軟體好,但本研究認為,Helix 是一套不錯的綜合性數鑑識工具。 四、 本研究認為三套軟體可以交互使用,三套鑑識軟體在不同鑑識階段各有各的擅 長功能,且有其特殊功能是其他鑑識軟體所沒有的,本研究列出三套軟體擅長 的鑑識功能,以及他們的優缺點,以利未來鑑識工作者,能有一指引平台,瞭 解工具在不同階段的優缺點,讓使用者可以交互使用這些工具。 參考文獻: 1.
林宜隆、蔡宜縉、歐啟銘,數位工具之比較,第九屆「網際空間:資訊、法律與 社會」學術研究暨實務研討會論文集,2007。
2.
林宜隆、陳蕾琪,數位證據初探,第三屆「網際空間:資訊、法律與社會」學術 研究暨實務研討會論文集,2001。
3.
林宜隆,網際網路與犯罪問題之研究,2001。
4.
林一德、陳志龍,電子數位資料於證據法上之研究,1999。
5.
王朝煌,數位證物之鑑識與蒐證,警學叢刊第三十四卷。
6.
曾煒鈞,網路犯罪偵查之蒐證、鑑識及反溯設計之研究,2003。
7.
Eoghan Casey, Handbook of computer crime investigation, Acamedic Press, 2002.
8.
資安人網站,資通安全鑑識實驗室建置要項—美國鑑識實驗室之現況 http://www.isecutech.com.tw/feature/view.asp?fid=188。
9.
Encase 使用手冊,及網站http://www.encase.com/。
10. FTK網站,http://www.accessdata.com/。 11. 刑事局網站,http://www.cib.gov.tw/news/news.aspx。
12. Helix網站, http://www.e-fense.com 。 13. 錢世傑、錢世豐、劉嘉明、張紹斌/著,電腦鑑識與企業安全,2004。 14. Eoghan Casey, Digital Evidence and Computer Crime Second Edition,academic press 2004. 15. Eoghan Casey, Handbook of computer crime investigation,Acamedic Press, 2002.
1682
Related Documents
