數位鑑識 Digital forensics

前言

許多人對於 數位鑑識 與 DFIR 會覺得很陌生，
因此今天的文章先從初學者出發，列出對於數位鑑識與 DFIR 很陌生的人，
要先理解的五大觀點，進行簡介：基本概念理解、技術與工具、流程與方法、應用領域、學習資源。

基本概念理解

什麼是數位鑑識 (Digital Forensics)

數位鑑識是指針對電腦設備和其他數位儲存媒體中，
可能與犯罪或未經授權活動相關的數位資訊進行識別、保存、分析、記錄和呈現的過程。

什麼是 DFIR？與數位鑑識有何不同

DFIR 是數位鑑識 (DF) 和事件回應 (IR) 的結合。

在調查和回應安全事件時，會同時收集和保存證據，此時就會使用 DFIR 這個詞。

換句話說，DFIR 是在事件回應的過程中應用數位鑑識的技術和流程。

為什麼數位鑑識很重要

隨著科技的發展，越來越多的犯罪活動涉及到數位設備和網路。

數位鑑識可以幫助執法機構和資安團隊收集和分析相關證據，以追蹤犯罪嫌疑人、瞭解犯罪手法、評估損失程度，並採取相應的法律行動或安全措施。

• 數位證據的普遍性
  • 幾乎所有犯罪活動都會留下數位足跡
  • 無論是使用電腦、手機、網路還是雲端服務
• 數位證據的持久性
  • 與傳統證據相比，數位證據更易於保存和複製，並且可以長時間保留
• 數位證據的客觀性
  • 數位證據通常比傳統證據更客觀
  • 因為它們不容易受到人為因素的影響

數位證據有哪些類型

數位證據的類型非常多樣，包括電腦檔案、電子郵件、簡訊、社群媒體的紀錄、網路記錄、雲端資料等等。

• 系統日誌
  • 系統日誌記錄了作業系統和應用程式的活動
  • 可以提供有關事件發生時間、使用者活動和系統狀態的資訊
• 網路流量
  • 網路流量分析可以揭示與事件相關的網路通訊
  • 例如攻擊來源、目標系統和傳輸的資料
• 記憶體 image
  • 記憶體 image 可以捕捉到系統在特定時間點的狀態
  • 包括正在執行的程式、開啟的檔案和網路連接
• 加密資料
  • 加密資料需要使用特殊的技術和工具進行解密，以取得其內容

數位證據的特性是什麼，如何確保其有效性

數位證據具有易消失性、易竄改性等特性，因此需要採取特殊的技術和方法來確保其完整性和可信度。

• 證據的完整性
  • 確保證據在收集、分析和保存過程中不被修改或損壞
  • 可以使用雜湊值（hash value）來驗證證據的完整性
• 證據的真實性
  • 確保證據是真實的，並且與它所聲稱的內容相符
  • 可以使用數位簽章和時間戳來驗證證據的真實性
• 證據的相關性
  • 確保證據與正在調查的事件相關，並有助於證明或反駁某個事實
• 證據的可接受性
  • 保證據在法律訴訟中可以作為證據使用，需要遵循相關的法律法規和流程
  • 例如《聯邦證據規則》 (Federal Rules of Evidence) 和各國的相關法規

技術與工具

進行數位鑑識需要哪些技術和工具

進行數位鑑識需要使用各種專業的技術和工具，例如：硬碟複製工具、資料恢復軟體、網路分析工具、惡意軟體分析工具等等。

• 硬碟複製工具
  • 這類工具可以建立硬碟的完整副本，確保在調查過程中原始證據不被修改
  • 一些常見的硬碟複製工具包括
    • EnCase Forensic Imager
      • 由 Guidance Software 開發，是一個業界標準的數位鑑識工具
      • 提供硬碟 image 、證據分析等功能
    • FTK Imager
      • 由 AccessData 開發，是一個免費的取證工具
      • 可以建立和分析磁碟 image
    • dd 指令
      • 這是一個常見的 Linux 指令
      • 可以用於建立磁碟 image
• 資料恢復軟體
  • 這些工具可以恢復已刪除或損壞的檔案，例如：
  • Recuva
    • 由 Piriform 開發，是一個免費的檔案恢復軟體
    • 可以恢復意外刪除的檔案。
  • EaseUS Data Recovery Wizard
    • 由 EaseUS 開發，是一個功能強大的資料恢復軟體
    • 可以恢復已刪除、格式化或損壞的檔案。
• 網路分析工具
  • 這些工具可以捕捉和分析網路流量，以識別攻擊來源、目標系統和傳輸的資料
  • 一些常用的網路分析工具包括
    • Wireshark
      • 一個免費且開源的網路協定分析器
      • 可以捕捉和分析網路流量
    • Tcpdump
      • 另一個常見的 Linux 指令
      • 可以用於捕捉網路流量
• 惡意軟體分析工具
  • 這些工具可以分析惡意軟體的行為，以瞭解其目的、攻擊手法和受影響的系統。
  • 一些常用的惡意軟體分析工具包括
    • IDA Pro
      • 由 Hex-Rays 開發
      • 一個功能強大的反組譯器和偵錯器
      • 可以用於分析惡意軟體的程式碼
    • Ghidra
      • 由美國國家安全局 (NSA) 開發的一個免費且開源的軟體逆向工程工具
      • 也可以用於惡意軟體分析
• 其他工具
  • 檔案檢視器
    • 這些工具可以查看各種檔案格式
    • 包括已刪除或隱藏的檔案
  • 資料庫鑑識工具
    • 這些工具可以分析資料庫檔案
    • 例如 SQL Server 或 Oracle 資料庫
  • 電子郵件鑑識工具
    • 這些工具可以分析電子郵件檔案
    • 例如 PST 或 MBOX 檔案
  • 行動設備鑑識工具
    • 這些工具可以從行動設備中提取資料
    • 例如手機和平板電腦

如何選擇合適的數位鑑識技術和工具

選擇合適的數位鑑識技術和工具需要考慮多種因素，例如：案件類型、證據類型、預算限制等等。

• 案件類型
  • 不同的案件類型可能需要不同的技術和工具
  • 例如
    • 調查網路入侵事件可能需要使用網路分析工具
    • 調查詐欺案件可能需要使用資料庫鑑識工具
• 證據類型
  • 不同的證據類型也可能需要不同的技術和工具
  • 例如
    • 分析硬碟可能需要使用硬碟複製工具和資料恢復軟體
    • 分析網路流量可能需要使用網路分析工具
• 預算限制
  • 數位鑑識工具的價格差異很大，從免費的開源工具到昂貴的商業軟體都有
• 技術能力
  • 使用某些數位鑑識工具需要專業的技術知識和技能
• 法律法規
  • 在某些情況下，可能需要使用符合特定法律法規或標準的工具

雲端時代的數位鑑識有哪些挑戰

雲端服務的普及為數位鑑識帶來了新的挑戰，
例如：資料的分散性、資料的加密性、服務提供商的合作等等。

• 資料的分散性
  • 雲端資料可能儲存在多個地理位置的伺服器上
  • 導致使得收集和分析證據變得更加困難
• 資料的加密性
  • 雲端服務提供商通常會加密儲存的資料
  • 導致在沒有解密金鑰的情況下難以存取和分析資料
• 服務提供商的合作
  • 取得雲端資料可能需要雲端服務提供商的合作
  • 需要時間，並且可能會受到法律和隱私政策的限制
• 雲端環境的複雜性
  • 雲端環境通常非常複雜，涉及多個層級的虛擬化和抽象化
  • 導致理解資料儲存和存取方式變得更加困難
• 新的服務和技術
  • 雲端服務和技術不斷發展
  • 開發數位鑑識技術和工具不斷更新以應對新的挑戰

流程與方法

數位鑑識的流程是什麼

1. 事件識別
   • 這個階段是識別可能發生了安全事件或犯罪活動
   • 例如未經授權的存取、資料洩漏或系統異常
2. 證據封存
   • 在這個階段，需要確保數位證據被妥善地保護，以防止被竄改或損壞。
   • 這通常包括建立硬碟或其他儲存設備的鏡像副本
3. 證據收集
   • 這個階段是收集與事件相關的數位證據
   • 包括硬碟、行動設備、伺服器日誌、網路流量和雲端資料等
4. 證據分析
   • 這個階段是分析收集到的證據
   • 以識別攻擊者、攻擊方法、受影響的系統和資料等
5. 報告撰寫
   • 這個階段是將調查結果寫成一份詳細的報告
   • 包括事件描述、證據分析、結論和建議等
6. 證據呈堂
   • 在某些情況下，可能需要將數位證據呈堂，支援法律訴訟

在不同的數位設備上進行數位鑑識，有哪些不同的方法

針對不同的數位設備，例如電腦、手機、伺服器等等，需要採取不同的數位鑑識方法。

• 電腦
  • 電腦鑑識通常涉及對硬碟、記憶體和作業系統進行分析
  • 以識別安裝的軟體、使用者帳號、檔案活動和網路連接等
• 手機
  • 手機鑑識可以提取通話記錄、簡訊、聯絡人、照片、影片、應用程式資料、GPS 定位等資訊
  • 以瞭解使用者的活動和通訊
• 伺服器
  • 伺服器鑑識通常著重於分析伺服器日誌、系統設定和網路流量
  • 以識別攻擊、資料洩漏和系統漏洞等
• 雲端服務
  • 雲端鑑識需要與雲端服務提供商合作
  • 以取得和分析儲存在雲端伺服器上的資料
• 物聯網設備
  • 隨著物聯網 (IoT) 設備的普及，物聯網鑑識變得越來越重要
  • 物聯網鑑識可以從設備中提取各種資料
    • 例如感測器資料、日誌和通訊記錄

如何確保數位鑑識過程的合法性和合規性

在進行數位鑑識時，必須遵守相關的法律法規和道德規範，以確保證據的有效性和可信度。

• 取得合法授權
  • 在收集和分析數位證據之前，必須取得相關的法律授權
  • 例如搜查令
• 遵循標準流程
  • 數位鑑識應該遵循公認的標準流程，以確保證據的完整性和可接受性
  • 例如，應該使用證據鏈 (Chain of Custody) 來記錄證據的處理過程
• 保護隱私
  • 在收集和分析數位證據時，應該保護個人隱私和資料安全
• 文件記錄
  • 應該詳細記錄數位鑑識過程中的所有步驟
  • 包括收集的證據、使用的工具和方法、分析結果等
• 保持客觀性
  • 數位鑑識人員應該保持客觀性，並以事實為依據進行調查和分析
• 持續學習
  • 數位鑑識是一個不斷發展的領域，數位鑑識人員需要持續學習新的技術和方法，以應對新的挑戰

應用領域

數位鑑識有哪些應用領域？

除了執法機構之外，數位鑑識技術也廣泛應用於企業安全、網路安全、智慧財產權保護等等領域。

• 企業安全
  • 當企業遭受網路攻擊、資料洩漏等安全事件時
  • 數位鑑識可以幫助企業調查事件原因、評估損失程度、採取應變措施，並追究相關責任
• 網路安全
  • 數位鑑識技術可以幫助企業識別攻擊者的身份、攻擊手法、受影響的系統和資料等
  • 以便企業採取相應的措施來防範類似事件再次發生
• 智慧財產權保護
  • 在智慧財產權保護方面
  • 可以舉例說明如何利用數位鑑識技術來追蹤盜版軟體的來源

數位鑑識如何幫助企業應對安全事件？

當企業遭受網路攻擊、資料洩漏等安全事件時，數位鑑識可以幫助企業調查事件原因、評估損失程度、採取應變措施，並追究相關責任。

• 調查事件原因
  • 數位鑑識技術可以幫助企業識別攻擊者的身份、攻擊手法、受影響的系統和資料等
  • 以便企業採取相應的措施來防範類似事件再次發生
• 評估損失程度
  • 數位鑑識可以幫助企業確定資料洩漏的範圍和性質
  • 以便企業評估事件造成的損失，並採取適當的措施來減輕損失
• 採取應變措施
  • 根據數位鑑識的結果，企業可以採取適當的應變措施
  • 例如修補系統漏洞、加強安全策略、通知受影響的客戶等
• 追究相關責任
  • 數位鑑識可以提供證據，幫助企業追究攻擊者或其他責任方的責任
  • 例如提起訴訟或採取其他法律行動
• 調查員工不當行為
  • 例如，企業可以使用數位鑑識技術來調查員工是否洩漏公司機密、竊取公司財產或進行其他不當行為
• 解決法律糾紛
  • 數位鑑識可以提供證據，幫助企業在法律糾紛中支持自己的主張
  • 例如合約糾紛、智慧財產權訴訟等。
• 確保合規性
  • 數位鑑識可以幫助企業遵守相關的法律法規
  • 例如資料保護法規。

未來數位鑑識的發展趨勢是什麼

隨著科技的發展，數位鑑識技術和應用領域將不斷擴展，例如：人工智慧、大資料分析、雲端鑑識等等。

• 區塊鏈鑑識
  • 區塊鏈技術的興起也為數位鑑識帶來了新的挑戰
  • 區塊鏈鑑識需要專門的技術和工具來追蹤和分析區塊鏈交易
• 鑑識技能的培訓
  • 隨著數位鑑識需求的增加，對具有鑑識技能的專業人員的需求也在不斷增加

學習資源

如何學習數位鑑識

有許多學習數位鑑識的資源，例如：書籍、課程、線上資源、研討會等等。

• 證照
  • SANS GIAC Certified Forensic Examiner (GCFE)
  • EC-Council Computer Hacking Forensic Investigator (CHFI)
  • AccessData Certified Examiner (ACE)
  • Certified Forensic Computer Examiner (CFCE)
• 線上資源
  • https://github.com/mikeroyal/Digital-Forensics-Guide
  • https://github.com/cugu/awesome-forensics
  • https://github.com/volatilityfoundation/volatility
  • https://github.com/frankwxu/digital-forensics-lab

成為一名合格的數位鑑識人員需要具備哪些技能和知識

• CS 基礎
  • 需要具備作業系統、電腦網路、程式設計等方面的知識
  • 才能理解電子證據的儲存、傳輸和處理方式
• 數位鑑識技術和工具
  • 需要熟練掌握各種數位鑑識技術，例如資料恢復、密碼破解、日誌分析等
  • 並能熟練使用各種數位鑑識工具，例如 Encase、FTK、X-Ways Forensics 等
• 法律法規
  • 需要熟悉與數位證據相關的法律法規，例如電子簽章法、個人資料保護法等
  • 才能確保在進行數位鑑識調查時，所取得和使用的證據具有法律效力

參考文獻

• https://ir.lib.cyut.edu.tw/retrieve/32097/IJAIT_2013_108.pdf
• https://tprc.tanet.edu.tw/tpnet2016/training/10503.pdf
• https://s.itho.me/ccms_slides/2024/5/24/359d278d-e59f-4a04-afae-49ceac196c95.pdf

總結

數位鑑識是一個關鍵的資訊安全領域，涉及識別、保存、分析和呈現數位證據的過程。
它在執法、企業安全、網路安全和智慧財產權保護等方面發揮著重要作用。主要概念包括：

1. 數位鑑識的基本原理和DFIR（數位鑑識和事件回應）的概念
2. 數位證據的類型、特性及其重要性
3. 各種數位鑑識工具和技術，包括硬碟複製、資料恢復、網路分析等
4. 數位鑑識的標準流程：事件識別、證據封存、證據收集、證據分析、報告撰寫和證據呈堂
5. 不同設備（如電腦、手機、伺服器、雲端服務、物聯網設備）的鑑識方法
6. 確保數位鑑識合法性和合規性的重要性
7. 數位鑑識在企業安全中的應用
8. 未來發展趨勢，如人工智慧、大數據分析和區塊鏈鑑識

隨著科技的不斷進步，數位鑑識面臨著新的挑戰，如雲端環境的複雜性和新興技術的出現。
因此，持續學習和適應新技術對於數位鑑識專業人員來說非常重要。

選擇題

1. 什麼是DFIR？
   A) 數位鑑識實驗室
   B) 數位鑑識和事件回應
   C) 數位檔案索引和恢復
   D) 數位防火牆和入侵檢測

   答案：B
   解析：DFIR代表Digital Forensics and Incident Response（數位鑑識和事件回應）。它結合了數位鑑識技術和安全事件回應流程，用於調查和處理資安事件。

2. 以下哪項不是數位證據的主要特性？
   A) 易消失性
   B) 易竄改性
   C) 持久性
   D) 物理性

   答案：D
   解析：數位證據的主要特性包括易消失性、易竄改性和持久性。物理性不是數位證據的主要特性，因為數位證據主要存在於電子形式中。

3. 在數位鑑識流程中，下列哪個步驟通常最先進行？
   A) 證據分析
   B) 事件識別
   C) 報告撰寫
   D) 證據呈堂

   答案：B
   解析：在數位鑑識流程中，事件識別通常是第一步。這涉及識別可能發生的安全事件或犯罪活動，如未經授權的存取或資料洩漏。

4. 以下哪種工具主要用於捕捉和分析網路流量？
   A) EnCase
   B) Recuva
   C) Wireshark
   D) IDA Pro

   答案：C
   解析：Wireshark是一個免費且開源的網路協定分析器，主要用於捕捉和分析網路流量。其他選項中，EnCase是硬碟映像工具，Recuva是資料恢復軟體，IDA Pro是反組譯器。

5. 雲端環境為數位鑑識帶來了哪些挑戰？
   A) 資料的分散性
   B) 資料的加密性
   C) 服務提供商的合作
   D) 以上皆是

   答案：D
   解析：雲端環境為數位鑑識帶來了多方面的挑戰，包括資料的分散性（資料可能儲存在多個地理位置）、資料的加密性（雲端服務通常會加密資料），以及需要雲端服務提供商的合作來獲取資料。

企業藍隊下一步行動清單

1. 評估現有的數位鑑識能力
   • 檢視現有的工具、技術和流程
   • 識別潛在的改進領域
2. 制定或更新數位鑑識政策和程序
   • 確保符合最新的法律法規和行業標準
   • 建立明確的事件回應流程
3. 強化數位鑑識工具箱
   • 採購或更新必要的硬體和軟體工具
   • 確保工具涵蓋各種設備和環境（如雲端、物聯網）
4. 培訓團隊成員
   • 提供數位鑑識基礎培訓給所有IT和安全人員
   • 為專門的鑑識人員提供進階培訓和認證機會
5. 建立數位證據管理系統
   • 實施安全的證據儲存和管理解決方案
   • 建立嚴格的證據鏈（Chain of Custody）流程
6. 進行定期的模擬演練
   • 模擬各種安全事件場景
   • 測試和改進數位鑑識流程和能力
7. 與外部專家建立合作關係
   • 識別並建立與外部數位鑑識專家的合作關係
   • 考慮外包某些專門的鑑識服務
8. 實施持續監控和日誌管理
   • 確保關鍵系統和網路的全面日誌記錄
   • 實施集中式日誌管理和分析解決方案
9. 制定雲端鑑識策略
   • 與雲端服務提供商討論鑑識需求和流程
   • 開發雲端特定的鑑識工具和技術
10. 定期審查和更新
    • 定期評估數位鑑識流程的有效性
    • 根據新的威脅和技術發展更新策略和工具