刑事警察局vol.93

二、目前數位鑑識收鑑概況 本局數位鑑識實驗室接受各級法院、檢察 署、各縣市警察局、本局各外勤隊有關刑事案 件數位證物之鑑驗，其送鑑之數位證物數量均呈 增加趨勢。送鑑案件由民國 100 年度 140 件增至 107 年度 334 件，證物數量由 100 年度 561 個增 加至 107 年度 1,091 個，平均每月需受理送鑑案 件 28 件，送鑑證物 91 個；另 107 年度共 30 件法 院裁判書引用本局數位鑑識報告作為判決依據。 三、本局目前數位鑑識流程，主要可分為 5 大步驟 （一）確認證據（ Verify ）： 數位證物送鑑採由送鑑單位實體親送，實驗 室於收案時會拍照確認證物外觀缺損狀，同時確 認受鑑證物特性及種類，常見收受證物為手機、 平板、電腦（桌上型及筆記型）、記憶卡、隨身 碟以及監視系統；人員、證物出入證物庫均須填 寫管制表，記錄日期、時間及進出原因。 （二）保全證據（ Preserve ）： 原則上不直接對原始證物進行分析，或是以 對原始證物最小變動來進行，以保全證據力。通 常程序如下： 1. 手機或平板：取下 SIM 卡，開啟飛航模式， 並使用鑑識軟體擷取手機資料庫解析。 2. 電腦（桌上型及筆記型）、記憶卡、隨身 碟、監視系統：對硬碟等儲存設備製作副 本，對副本進行分析以及蒐集證據。副本 製作方式分為兩種，一係以位元串流方式 （ bit — stream copy ）將儲存媒體內之資 料完整複製，並以封裝檔案方式儲存，又 稱為映像檔，無法直接安裝在電腦上執行， 但可透過特定鑑識軟體或虛擬機器開啟； 一係使用硬碟複製機，將硬碟內之資料完 整複製至另一硬碟上，可直接安裝於電腦 上執行。 對於完成之硬碟副本檔案，均計算 並記錄雜湊值（ md5 以及 SHA — 1 ），由 於雜湊函式運算所產生之值，為單向運算 式，若同一雜湊函式運算出的雜湊值不相 同，則表示原始輸入值不相同；若運算 出的雜湊值相同，則輸入值可視為相同。 不同的輸入值得出相同雜湊值之機率極 小（ MD5 雜湊函式之碰撞機率為 1/2 128 ， SHA1 雜湊函式之碰撞機率為 1/2 256 ），因 此雜湊函式運算驗證碼之主要目的，係用 來驗證資料之完整性，即驗證兩個檔案是 否為相同之檔案。 （三）分析證據（ Analysis ）： 1. 智慧型手機鑑識：主要針對即時通訊軟體 （如： LINE 、 WeChat ）進行解析，使刪 除紀錄可被還原解讀。可分為： （ 1 ）實體擷取（ Physical Extraction ）：可完整 擷取內部的記憶體資料，不需要做越獄 （ jailbreak ）或提權（ root ），將資料刪 除還原。 （ 2 ）檔案系統擷取（ FileSystemExtraction ）： 可擷取內部的記憶體資料，包含 APP 的 資料庫、系統檔案及 LOG 檔案，將資料 刪除還原。 （ 3 ）邏輯擷取（ Logical Extraction ）：利用 API 從手機的作業系統擷取資料，包括 通話紀錄（ Call Logs ）、簡訊（ SMS 5 研 SPECIAL TOPIC