數位鑑識 - HackMD

# 數位鑑識 - 什麼是數位鑑識？數位鑑識泛指所有以電腦設備為媒介進行犯罪後對電腦所進行的採證工作，我們亦可把數位鑑識比擬成電腦結構中之軟體，針對不同的犯罪情況，調查／採證人員所使用的鑑識方法而有所不同，這也就像是電腦軟體針對使用者不同的需求，而使用不同的方式來解決使用者的問題一樣。 - 定義利用科學驗證的方式調查數位證據，經由數位證據的還原、擷取、分析等過程，還原事件原貌，以利事件調查，並提供法庭訟訴之依據。 ## 數位證據 - 證據能力在目前改良式當事人進行主義之下，「無證據能力、未經合法調查之證據，不得作為判斷之依據。」因此，**具備證據能力並經合法調查，而得為法院評價之對象**，乃嚴格證明法則之要件。證據能力，亦可稱為證據資格，係指**得成為證明犯罪事實存在與否之證據資格**。基本上，是否具備證據資格須由法院證據調查程序加以判斷。對於已提出接受檢驗的事實資料，進行事實關聯性(證據能力)及取得正當性(證據合法取得)之檢視，具備證據能力並通過合法性審查者，即為具備證據資格。 - 證據同一性指**在法院所呈現的證據即原始得用以證明待證事實的證據**，亦即呈現於法院的證據必須未經竄改或刪除。換言之，必須是純淨且無污染，確實用以證明待證事實的原始證據，才符合訴訟法對於證據同一性的要求。如果無法通過證據資格檢驗，當然無法成為認事用法的依據。由於數位證據本身之特性，數位證據同一性往往成為訴訟雙方攻防的重點。目前判斷有無證據能力仍依循刑事訴訟法相關規定，僅就證據取得程序進行審查，並未就證據內容做實質審酌。 ## 記憶體作為數位證據揮發記憶體/非揮發記憶體大不同 - 「記憶體」是電腦設備或相關元件中儲存各種資料的核心，因此，在取得欲進行鑑識的目標裝置後，第一步即是將裝置中的記憶體內容萃取進行備份，以利後續分析工作。 - 一般而言，依照記憶體儲存資料的特性可分為揮發性（Volatile）與非揮發性（Non-volatile）兩種，儲存在非揮發性記憶體中的資料，除非使用者加以刪除或更動，否則將常駐於儲存裝置中，如：唯讀記憶體（Read-Only Memory，ROM）與快閃記憶體（Flash Memory）；而存於揮發性記憶體中的資料，則是一旦電腦關機或是重新啟動後，便會從電腦記憶體儲存空間中消失的資料，如：隨機存取記憶體（Random Access Memory，RAM）與快取記憶體（Cache Memory）。 - 存放於電腦揮發性記憶體中的資料，通常是運作中的程序或是當時與電腦狀態有關的資料，常見的揮發性資料有： 1. 系統的基本程序 2. 正在執行的程序或剛終止執行的程序 3. 打開的 TCP/UDP Port 的資訊 4. 網路連線的狀態與分享的資訊 5. 儲存在虛擬記憶體中的檔案 6. 快取記憶體中的資料 7. 隱藏的資料 ## 「數位鑑識」在數位化時代的重要性 - 指對於數位資料所作的鑑識工作。 - 由於一般的電腦設備裡儲存的即為數位資料，所以數位鑑識的意義以科技的數位化趨勢而言，大致上是泛指數位資料的處理工作。 - 數位鑑識之目的在於蒐集、檢驗及分析數位證據。藉由保存電腦犯罪證據，並透過電腦採集有意義的證據資訊或從片斷的資料中，描繪事件大略情形以進行現場重建。其中，數位證據也就是讓調查／採證人員透過數位鑑識的幫助，用來證明犯罪人是否真的有犯罪實證，並重建犯罪軌跡把侵犯者繩之以法的有效媒介。 - 數位證據有如電腦結構中之硬體，這些硬體散落在犯罪現場，需要靠調查／採證人員細心的將所有的證據一一找出，電腦結構中空有硬體而沒有軟體的輔助，電腦硬體也是英雄無用武之地。 - 從這個觀點我們可以知道電腦結構中，硬體跟軟體是相依並存的，缺少了那一部分都無法發揮其功能，由於電腦硬體與軟體的天作之合，開啟了電腦世代的新紀元。反觀「鑑識」與「證據」的組合，互依互存就有如天作之合的軟體「鑑識」與硬體「證據」，少了其中一種就無法發揮其作用。 # 記憶體與數位鑑識的關係 - 除了一般常見的隨身碟或硬碟中的實體記憶體外，記憶體還包括了虛擬記憶體與快取記憶體，分述如下： - 虛擬記憶體：虛擬記憶體相對於實體記憶體而言，是一種作業系統運用的技術，將磁碟空間模擬成記憶體，使得在實體記憶體不足的系統上，也可執行需要記憶體較多的應用程式。通常 Windows 中會將虛擬記憶體的大小調整在實體記憶體的 2.5 倍，虛擬記憶體在磁碟內是以「虛擬記憶體交換（置換）檔」存在，就是拿一部分的硬碟空間來當作記憶體使用，先把一些記憶體中閒置太久的程式，丟到硬碟上，當有需要用到程式或資料時再從硬碟裡叫回來。 - 使用虛擬記憶體之優點： 1. 程式不再受到實際記憶體可用空間限制，記憶體可用空間變大 2. 有更多程式能同時運用記憶體，增加了 CPU 使用率 3. 載入程式或置換程式所須 I/O 次數減少，速度加快 - 快取記憶體：由於 Intel CPU 速度的飛快躍進，而處理速度進步規模遠遜於 CPU 的記憶體無法完全支援配合，因此電腦系統，必須在 CPU 與傳統的 DRAM 記憶體之間，以快取記憶體系統（Cache Memory System）作為兩者之間的緩衝。當 CPU 處理資料時，它會先到快取記憶體中去尋找，如果資料因之前的操作已經讀取而被暫存於其中，就不需要再從主記憶體（Main Memory）中讀取資料。由於 CPU 的執行速度一般比主記憶體快，因此若要經常存取主記憶體的話，就必須等待數個 CPU 週期而造成時間的浪費。數位鑑識流程與記憶體分析的關係，如下圖所示： ![](https://i.imgur.com/xE5JScG.png =0x0) ### 參考資料 - [化身 CSI 鑑識偵探！「數位鑑識」專家如何從小小記憶體找出犯罪證據？](https://buzzorange.com/techorange/2020/08/11/digital-forensics/) - [談「數位鑑識」－從國內外實際案例看數位鑑識之重要性〡專題報導](https://www.fisc.com.tw/Upload/d8bcb29c-5c2c-4641-a3cb-9d126a0b75da/TC/7904.pdf)