刑事警察局vol.93

二、目前數位鑑識收鑑概況 本局數位鑑識實驗室接受各級法院、檢察 署、各縣市警察局、本局各外勤隊有關刑事案 件數位證物之鑑驗,其送鑑之數位證物數量均呈 增加趨勢。送鑑案件由民國 100 年度 140 件增至 107 年度 334 件,證物數量由 100 年度 561 個增 加至 107 年度 1,091 個,平均每月需受理送鑑案 件 28 件,送鑑證物 91 個;另 107 年度共 30 件法 院裁判書引用本局數位鑑識報告作為判決依據。 三、本局目前數位鑑識流程,主要可分為 5 大步驟 (一)確認證據( Verify ): 數位證物送鑑採由送鑑單位實體親送,實驗 室於收案時會拍照確認證物外觀缺損狀,同時確 認受鑑證物特性及種類,常見收受證物為手機、 平板、電腦(桌上型及筆記型)、記憶卡、隨身 碟以及監視系統;人員、證物出入證物庫均須填 寫管制表,記錄日期、時間及進出原因。 (二)保全證據( Preserve ): 原則上不直接對原始證物進行分析,或是以 對原始證物最小變動來進行,以保全證據力。通 常程序如下: 1. 手機或平板:取下 SIM 卡,開啟飛航模式, 並使用鑑識軟體擷取手機資料庫解析。 2. 電腦(桌上型及筆記型)、記憶卡、隨身 碟、監視系統:對硬碟等儲存設備製作副 本,對副本進行分析以及蒐集證據。副本 製作方式分為兩種,一係以位元串流方式 ( bit — stream copy )將儲存媒體內之資 料完整複製,並以封裝檔案方式儲存,又 稱為映像檔,無法直接安裝在電腦上執行, 但可透過特定鑑識軟體或虛擬機器開啟; 一係使用硬碟複製機,將硬碟內之資料完 整複製至另一硬碟上,可直接安裝於電腦 上執行。 對於完成之硬碟副本檔案,均計算 並記錄雜湊值( md5 以及 SHA — 1 ),由 於雜湊函式運算所產生之值,為單向運算 式,若同一雜湊函式運算出的雜湊值不相 同,則表示原始輸入值不相同;若運算 出的雜湊值相同,則輸入值可視為相同。 不同的輸入值得出相同雜湊值之機率極 小( MD5 雜湊函式之碰撞機率為 1/2 128 , SHA1 雜湊函式之碰撞機率為 1/2 256 ),因 此雜湊函式運算驗證碼之主要目的,係用 來驗證資料之完整性,即驗證兩個檔案是 否為相同之檔案。 (三)分析證據( Analysis ): 1. 智慧型手機鑑識:主要針對即時通訊軟體 (如: LINE 、 WeChat )進行解析,使刪 除紀錄可被還原解讀。可分為: ( 1 )實體擷取( Physical Extraction ):可完整 擷取內部的記憶體資料,不需要做越獄 ( jailbreak )或提權( root ),將資料刪 除還原。 ( 2 )檔案系統擷取( FileSystemExtraction ): 可擷取內部的記憶體資料,包含 APP 的 資料庫、系統檔案及 LOG 檔案,將資料 刪除還原。 ( 3 )邏輯擷取( Logical Extraction ):利用 API 從手機的作業系統擷取資料,包括 通話紀錄( Call Logs )、簡訊( SMS 5 研 SPECIAL TOPIC

RkJQdWJsaXNoZXIy NDEyMzQ=