hacker_APT

近日 DDoS 攻擊的新聞,加上政治等複雜議題令全城對於 DDoS 有更進一步的認識;但今次筆者想帶大家初步了解一下調查人員在確定到發動攻擊的罪犯後,進行拘捕時的取證工作。

電腦取證高深學問

首先電腦取證是一門高深學問,事關取證的過程之中,除了要小心避免難以預料的情況而令證據的合法性盡失之外,更需要了解到整個系統的運行概念才可;由於電腦取證是這麼困難,難怪到現時為止,全球仍有警員於調查期間因不小心而令證物的真確性存疑,因而令電子證物失去了法庭的認可。一般來說,為了避免不小心處理證物而令其失去合規性,現時面對著電腦罪行的案件,較先進的國家均會要求電腦罪行監證科的專家進行取證工作。

由於整個取證的過程之中涉及十分多步驟,礙於篇幅所限,今次筆者先與大家分享一下「時間」對於電子證物的重要性。

案發時間十分重要

首先不論是電腦罪行又或者真實世界所發生的案件,在調查期間除了要釐清行兇動機、第一案發地點等等外,最重要而且能左右案件判決的就是「時間」,一旦時間未能確定的話,所帶來的影響不用多說。

電腦案發時間隨時改變

同樣地,在電腦的世界之中,「時間」亦是十分重要的。不過 Windows 系統往往會自動改變了某些資料夾的時間又或者在電子證物的存放位置自動新加入隱形檔案,例如暫存檔案(cache)、資源回收筒所產生的隱藏檔案等等,從而令存放犯罪證據的資料夾出現了全新的修改時間,最終有機會令證物失去法庭認可;可見,在電腦世界之中要確定案發時間已經是一門十分高深的學問。

解決方法

當然,詳細的取證工作如果日後有機會的話,筆者都想跟大家多分享一些,因為網絡上幾乎不會有警員公開電腦取證的過程;同樣地由於篇幅所限,請容筆者先談談實際操作以外的一些資料,下次再為大家揭開警方的查案過程。

不可不提的 Write Blocker

既然接觸電腦作取證工作十分麻煩,所以在進行取證工作前專家均先會把整個系統完完整整地進行複製,從而方便日後作「更大膽的取證動作」。不過問題來了:當你進行複製時,如何避免複製的過程之中,由系統自動產生出來的種種隱形的暫存檔而做成的影響,答案就是使用 Write Blocker。

Write Blocker 是一件實體的設備,外形比大家常用的滑鼠大一點;專家會通過 Write Blocker 接駁到取證的電腦,而另一方接口則會接駁到調查人員的電腦進行複製動作;由於 Write Blocker 的特性就是禁止任何寫入的動作,例如會將所有寫入的動作傳回失敗指令或以 Write Blocker 上的記憶體暫存由系統自動產生的檔案,所以能有效避免幾乎所有令證物失效的修改時間因素。

罪犯可改變系統時間

雖然 Write Blocker 可以解決了檔案修改時間的問題,但黑客仍可透過直接變更系統時間來令證物有機會失效。提到不同檔案的時間,想必大家都知道,當你需要查看 Windows 系統之中不同檔案的修改時間時,我們通常會透過選擇有關檔案,然後按滑鼠右鍵再按內容,此時便可看到修改時間。

但法庭卻不信任這個修改時間,事關罪犯只需更改 BIOS 以及系統本身的時間,便可令這個檔案的最後修改時間變得不合常理(例如可把系統時間設定為未來);幸好 Windows 系統在大家看到的修改時間背後,其實仍有一個大家看不見的時間紀錄檔;加上調查期間我們可通過推測罪犯的行為,從而檢視有可能按下的位置;由於每一個動作在 Windows 系統之中都有檔案紀錄著修改時間,因此將罪犯的幾個動作(例如按下某些按鈕的時間與證物的時間作對比),便可對案發時間作較準確的推測,而法庭對於這種由多個動作的執行時間所構成的案發時間推測會較為信任;並非大家看到的檔案修改時間,所以電腦取證除了要兼顧技術之外,亦需懂得與電腦罪行相關的法規。

如果有機會的話,在未來筆者將會帶大家一步一步檢視不同情況下的取證工作;同時亦會帶大家看看黑客用來收藏證物的方法;帶大家看看黑客在過程之中會採取任何令你意想不到的方式令證物的時間失效,所以說能掌握時間某程度上絕對能主宰了電腦罪行是否成立;我相信當中的過程必定會令大家大開眼界!請密切留意我們的報導吧!


 掌握時間避開法律責任?淺談時間對電腦罪行的重要性