偷偷藏不住-談談你知/不知道的數位鑑識@HITCON GIRLS交流、分享會共同筆記 Collaborative Notes

# 偷偷藏不住-談談你知/不知道的數位鑑識@HITCON GIRLS交流、分享會共同筆記 Collaborative Notes 2023.10.21 更新時間:2023/10/29 今天的講師 --- HTz TDOHacker社群公關媒體組今天的主題 --- 來談談你所知道/不知道的數位鑑識 **數位鑑識的意義** 當案件/事件/事故發生，現實生活中，會有**檢、警、調查人員**到現場進行封鎖並且**採、蒐證，採蒐證人員具備相當的公權力**，並且由**法院、法官開立搜索票，針對案近進行蒐集相關的實體證據**，而當案件/事件/事故涉及可能與資訊、電腦、網路等相關時，就會有所謂的數位證據的收集，平常的情況下，檢、警、調查人員之蒐證人員在蒐集到案件/事件/事故現場的證據後，經過適當的保存，運送，並交由**檢、警、調查單位針對蒐集到的證據進行了解、保存與確認是否與案件相關，相同的數位證據在蒐集後除須要妥善保存外，還需要進行證據備份後，始可進行證據分析取樣**。取證、存證數位鑑識調查或分析人員應該於犯罪現場電腦關閉設備前，運用科技方法對軟體和網路進行快速證據分類或預覽（evidence triage/preview），避免系統崩潰或數位證據遺失（ISO/IEC, 2012; SWGDE, 2014）。(詳參考資料) 證據分類（evidence triage），亦有尋求「適當時間內，讓犯罪證據，能在適當地方（犯罪現場或實驗室），採用適當工具資源蒐集證據」之意（Pearson and Watson, 2010）。亦即不同時機或處所，採集證據的工具或方法，得因地制宜；而非，僅貿然律定「不得存取原始證物」。(詳參考資料) 執法人員因為**犯罪現場（crime scene）或鑑識實驗室（forensics lab）的蒐證地點、目的、工具不同，所採行的蒐證程序、優先順序也應該有所不同**，實有必要進一步釐清，供各現場第一線調查人員（first responder）或實驗室分析人員（lab analyzer）參考。(詳參考資料) 因為**電子形式儲存資料的檢查（examination）、蒐集（collection）或保存（preservation），往往須在調查者到達現場，於有限時間內，以最小干擾（侵入）方式完成**。(詳參考資料) 記憶體儲存資料的特性可分為**揮發性（Volatile）與非揮發性（Non-volatile）**兩種，儲存在非揮發性記憶體中的資料，除非使用者加以刪除或更動，否則將常駐於儲存裝置中，如：唯讀記憶體（Read-Only Memory，ROM）與快閃記憶體（Flash Memory）；而存於揮發性記憶體中的資料，則是一旦電腦關機或是重新啟動後，便會從電腦記憶體儲存空間中消失的資料，如：隨機存取記憶體（Random Access Memory，RAM）與快取記憶體（Cache Memory）。(詳參考資料) 證據法則最高法院107年度台上字第3724號刑事判決首次使用**「數位證據」用語，並指出具 5 項基本性質：（1）無限複製性、（2）複製無差異性、（3）增刪修改具無痕跡性、（4）製作人具不易確定性、（5）內容非屬人類感官可直接理解（須透過電腦設備呈現內容）。** 基於（1）、(2）項特性，數位證據之複製品與原件在作為證據時有相同之效果；但基於（3）、（4）項特性，數位證據存在作偽、變造可能，原則上應提出原件供法院調查。臺灣大學法律學院蘇凱平副教授認為在技術上要證明數位數據是否經增刪修改有相當大困難，法院在處理數位證據是否經偽變造的主張和證據能力爭議時，重點應在於釐清舉證責任歸屬。數位證物鏈的處理刑事局自111年起即投入區塊鏈技術研究，於112年順利建置「警政數位證物鏈」，讓執法單位在第一現場即可透過數位簽章等技術將**數位證據驗證資訊上傳區塊鏈**，並配合近期法務部、司法院推動的司法聯盟鏈，能有效解決警、檢、院等針對雲端證物於法庭上的驗真性、一致性等問題，也強化司法訴訟之公正性、保障民眾法律上之權益。刑事局推動的**警政區塊鏈系統係採用超級帳本（Hyperledger Fabric）**技術率先與臺北市政府警察局、新北市政府警察局等機關建立節點，透過**將數位證物以SHA-256雜湊值運算自動運算出雜湊值，將採證時間以及其他資訊寫入警政數位證物鏈**，另外自動化存證流程減少人工介入可能，目前實測可有效節省現場採證超過90%以上時間，而且日後當證物進入法庭時，透過驗證程序可立即確認證數位證物是否遭到竄改，無須再傳喚採證人員出庭作證，堪稱我國司法史上首創之「數位證人」。刑事局為所有執法單位「首創」使用區塊鏈技術納入**數位鑑識監督鏈(Chain of Custody，簡稱CoC)**流程，同時又可透過警政數位證物鏈與司法聯盟鏈結合，強化司法機關之共識，未來透過產官學研領域加入或引入民間公證機制，將會讓數位證據保全與程序更臻完善，也是我國刑事科技領域卓越邁進。數位證據的證據能力V.S證據力證據能力可以作為證據的資格，法律對一個物件是否可以作為證據通常都會有一定的限制證據力證據進入法庭使用後，能證明某件事到哪種程度，稱為證明力（也稱為證據力) 專家證人被法院找來的專業人士，提供法官或檢察官諮詢傳聞證據人家講的、沒有被證明或者無法證明的數位鑑識的步驟參考簡報數位鑑識常用到的工具(請參考底下的連結) 滅證顧名思義就是把證據給毀掉但很多時候情急之下都是只會做物理破壞(打爛、泡水、或者.. 基本上60~70%救得回來實作練習 --- 練習一試著從USB中的資訊找到它的主人提示:這題建議使用Access Data FTK Imager 或者也可以使用Bulk Extractor 先看檔案型態，然後用7zip 把他解出來會得到usb.image 然後用Access Data FTK Imager或者Bulk Extractor 如果是Access Data FTK Imager 選擇 add Evidance Item 在Select source畫面選擇 Image File 然後把那個usb.image讀取載入畫面上會看到左手邊上面有一個階層 usb.image點開+ 下面是USB[FAT16] 在下一層有兩個資料夾分別是[root]跟[unlacoated space] 點到[unlacoated space] 然後在左手邊File list會看到一個00002的檔案這邊做法有兩種一種是你在上面按右鍵把檔案給Export 然後在用winhex之類的去看裡面的內容另一個做法是點了那個00002的檔案然後看下面往下找你會找到Javier Turcot就是這次的答案但是如果你想要解這題CTF拿到5分依照題目的提示你的正確答案是javer_turcot 如果你是用Bulk Extractor來做記得他底層是java 會建議你如果可以請用已經封裝好的Linux 例如Parrot Security OS 或者 Kali Linux 練習二從封包側錄檔案中找出管理者的密碼提示:這題建議使用使用Wireshark 這題比較難比較複雜，有找到管理者的base64字串就OK https://digitalitskills.com/root-me-active-directory%E2%80%8A-gpo/ 練習三從記憶體dump檔案中找出電腦名稱提示:這題建議使用使用volatility記憶體鑑識工具或者也可以使用Bulk Extractor https://github.com/khangtictoc/CTF-Writeup-Practice/blob/master/Forensics/Rootme/Command%20%26%20Control%20-%20level%202.md 練習四從封包側錄檔案中找出密碼提示:這題建議使用使用Wireshark、CyberChef 看一下http200後的封包然後開啟TCP Stream 會看到拿到密碼之後用cyberchef 把base64解出來就是答案工具 --- Access Data FTK Imager https://www.exterro.com/ftk-imager Autopsy - Digital Forensics https://www.autopsy.com/ The Volatility Foundation - Open Source Memory Forensics https://www.volatilityfoundation.org/ Bulk Extractor https://downloads.digitalcorpora.org/downloads/bulk_extractor/ Maltego https://www.maltego.com/blog/integrating-digital-forensic-tools-with-maltego/ Wireshark https://www.wireshark.org/download.html Quickhash https://www.quickhash-gui.org/ Pestudio https://www.winitor.com/download Shodan io https://www.shodan.io/ CyberChef https://gchq.github.io/CyberChef/ 資源分享 --- 漫談電腦鑑識流程與技術 https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=879 何謂電腦鑑識 https://www.iforensics.com.tw/about.html 監看錄影程式成洩密管道　循線偵查破解數位跡證 https://www.netadmin.com.tw/netadmin/zh-tw/technology/968EB9AF83CC4B13A59900D2AFF73541?page=3 使用Maltego收集信息 https://wizardforcel.gitbooks.io/daxueba-kali-linux-tutorial/content/24.html 情報收集 - Information Gathering (Maltego) https://ithelp.ithome.com.tw/m/articles/10271857 可否變動數位證據：現場存取原始證物的省思 https://www.cprc.moj.gov.tw/media/8761/722115375860.pdf?mediaDL=true 手機攻擊詐騙時有所聞　行動鑑識找出關鍵跡證點閱數：3024 App暗藏惡意木馬程式　萃取數位證據還原資安事件 https://www.uso.com.tw/portal_b1_page.php?owner_num=b1_55912&button_num=b1&cnt_id=10922 對行動裝置做雲端鑑識　解析雲服務存取足跡 https://www.netadmin.com.tw/netadmin/zh-tw/technology/B7168D4FDD574B43B9D36B6B0B71C734 化身 CSI 鑑識偵探！「數位鑑識」專家如何從小小記憶體找出犯罪證據 https://buzzorange.com/techorange/2020/08/11/digital-forensics/ 你也想成為電腦CSI嗎 https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=656 https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=683 Day 1 數位鑑識入門 -- 什麼是數位鑑識 https://vocus.cc/article/640d6944fd8978000145fbb8 Day 2 數位鑑識證據能力及證據力介紹 https://vocus.cc/article/6416a227fd89780001d89ed8 Day 3 數位鑑識製作記憶體分析檔案(mem) https://vocus.cc/article/6416a2cdfd89780001d8a57a Day 4 數位鑑識分析記憶體檔案 https://vocus.cc/article/6418218efd89780001eaf064 Day 5 數位鑑識 Bulk Extractor https://vocus.cc/article/6451d3b5fd89780001912afd 考試相關 --- EC-Council CHFI V9/V10 考試準備用/參考資源 https://hackmd.io/@9dCJrgb6QHGd8dRfgHO0zg/rJUGrqmbq GIAC Battlefield Forensics and Acquisition (GBFA) https://www.giac.org/certifications/battlefield-forensics-acquisition-gbfa/ GIAC Certified Forensic Examiner (GCFE) https://www.giac.org/certifications/certified-forensic-examiner-gcfe/ GIAC Certified Forensic Analyst (GCFA) https://www.giac.org/certifications/certified-forensic-analyst-gcfa/ GIAC Network Forensic Analyst (GNFA) https://www.giac.org/certifications/network-forensic-analyst-gnfa/ GIAC Reverse Engineering Malware (GREM) https://www.giac.org/certifications/reverse-engineering-malware-grem/ Certified Computer Examiner https://www.isfce.com/certification.htm 線上教育訓練/練習環境 --- Root Me CTF Forensic https://www.root-me.org/en/Challenges/Forensic/ DFIR Training - Free Training https://www.dfir.training/free-training Free Open Source Android CTF https://www.reddit.com/r/computerforensics/comments/gashwc/free_open_source_android_ctf/ EC-Council DFE https://www.eccouncil.org/academia/digital-forensics-essentials-dfe/ Free course Digital forensics https://www.open.edu/openlearn/science-maths-technology/digital-forensics/content-section-0?active-tab=description-tab CTF101 - Forensics https://ctf101.org/forensics/overview/ Africa Digital Forensics CTF https://www.h4k-it.com/africa-digital-forensics-ctf/ Digital Forensics Challenge 2023 https://dfchallenge.org/ CyberTalents Certified Digital Forensics Examiner https://cybertalents.com/courses/cybertalents-certified-digital-forensics-examiner 推薦書單 --- 數位科技與證據法則 https://www.books.com.tw/products/0010921790 圖解數位證據資訊時代的法庭攻防(第二版) https://www.books.com.tw/products/0010646799 數位神探系列-資安密碼-隱形帝國：數位鑑識學院尋探之旅 https://www.books.com.tw/products/0010937958 List of 50 Top Digital Forensics TOOLS. --- 1. Autopsy: https://www.autopsy.com/ 2. EnCase: https://lnkd.in/dRwh9VwZ 3. AccessData Forensic Toolkit (FTK): https://lnkd.in/dwhkAFKt 4. X-Ways Forensics: https://www.x-ways.net/ 5. Sleuth Kit: https://www.sleuthkit.org/ 6. Volatility: https://lnkd.in/dXX7-Vwc 7. Wireshark: https://www.wireshark.org/ 8. Cellebrite UFED: https://lnkd.in/dqm7x8cs 9. Forensic Email Collector: https://lnkd.in/dc-MeV7b 10. Digital Forensics Framework (DFF): https://lnkd.in/dmzfPdSa 11. Magnet AXIOM: https://lnkd.in/daQVh6nu 12. Oxygen Forensic Detective: https://lnkd.in/dAMRE7MQ 13. OSForensics: https://lnkd.in/dGmC8ZYC 14. NetworkMiner: https://lnkd.in/dF5S8tmM 15. RegRipper: https://lnkd.in/d2Katt9M 16. Bulk Extractor: https://lnkd.in/dA4_KWke 17. Ghiro: https://lnkd.in/dtaC3zbq 18. Scalpel: https://lnkd.in/dcauiS8p 19. HxD: https://lnkd.in/ddZC5tSJ 20. TestDisk: https://lnkd.in/dzbwsMQU 21. PhotoRec: https://lnkd.in/dCG9pKRs 22. CAINE (Computer Aided INvestigative Environment): https://lnkd.in/deNCZe9J 23. Axiom Cyber: https://lnkd.in/dVnkMpDn 24. Belkasoft Evidence Center: https://belkasoft.com/ec 25. Fibratus: https://lnkd.in/dhvrGykB 26. Autopsy Browser: https://www.autopsy.com/ 27. Kali Linux: https://www.kali.org/ 28. DEFT (Digital Evidence & Forensic Toolkit): http://www.deftlinux.net/ 29. Volatility Framework: https://lnkd.in/dXX7-Vwc 30. PyFlag: https://lnkd.in/dfMVnnPJ 31. Plaso (log2timeline): https://lnkd.in/dDwJvrEy 32. TSK (The Sleuth Kit): https://lnkd.in/d9rCryMN 33. Redline: https://lnkd.in/dqfpFzz7 34. Snort: https://www.snort.org/ 35. Tcpdump: https://www.tcpdump.org/ 36. Ngrep: https://lnkd.in/dagkZm-r 37. dcfldd: https://lnkd.in/dPm5Hha2 38. Wireshark: https://www.wireshark.org/ 39. SIFT (SANS Investigative Forensic Toolkit): https://lnkd.in/dc7b3vvU 40. Paladin: https://lnkd.in/dyK6iXCj 41. CAINE Live: http://www.caine-live.net/ 42. XRY (XAMN): https://lnkd.in/dv5c_Wmi 43. BlackLight: https://lnkd.in/dMxsBbEi 44. WinHex: https://lnkd.in/dS7vJn-c 45. AccessData FTK Imager: https://lnkd.in/dzFdb-bv 46. DC3DD: https://lnkd.in/dKwBPyP4 47. Raptor: https://lnkd.in/dq8hHget 48. EnCase Imager: https://lnkd.in/dRwh9VwZ 49. Guymager: https://lnkd.in/dHKMxxFY 50. Scalpel: https://lnkd.in/dcauiS8p