政治大學 資科系淺談數位鑑識

Jimmy Hsu

winterthink@gmail.com

2015.12.21

許晉銘 Jimmy Hsu國立政治大學資訊科學碩士私立元智大學資訊管理學士

副理資訊安全服務, 企業風險管理勤業眾信會計師事務所

專業認證EnCase 講師國際認證道德駭客(結訓)PMP(結訓)

資訊系統管理、資訊安全管理及數位鑑識分析技術: 10年未加入勤業眾信前，許晉銘先生主要專精於資訊系統維運，他參與許多中華電信重要資訊系統維運案，例如台鐵網路訂票系統、電子公文交換系統、中華電信地政服務系統等，並在維運案中擔任專案經理，負責溝通協調使專案如期如質如預算地完成。除此之外針對資訊系統提供資訊安全顧問服務兼台灣唯一Guidance授權之EnCase講師，教授過多次CF1和CF2課程，並編撰CF1的中文教材。實務經驗方面，協助客戶處理過多個實際案例。

於勤業眾信會計師事務所期間，他主要專注於數位鑑識技術，他曾協助客戶進行電腦鑑識、顧問服務、教育訓練以及協助建立鑑識標準程序，主要服務對象為政府機關和金融機構。

專業能力:• 數位鑑識及分析技術服務

• 資訊安全管理系統導入 (ISO 27001)

• 系統弱點評估及資訊系統強化

• 網路安全評估及滲透測試

• ISO/IEC 17025

Major Clients:

• 法務部資訊室• 財金資訊• 中華電信數據分公司政網處• 中華電信數據分公司資訊處• 中華電信數據分公司加值處• 中華電信行通分公司網維處• Powermax• IngersollRand• 台大醫院

• 中華電信國際分公司• 中華電信台中行通長二機房• 中華電信高雄數據分公司• 刑事局• 台中市刑大• 台北市刑大• 法務部調查局• 安麗日用品股份有限公司• 遠通電收

P.3

簡報大綱

近期資安事件回顧

數位鑑識概述

儲存媒體鑑識

行動裝置鑑識

數位鑑識之困境與挑戰

數位鑑識作業程序、工具及人員能力

結論

問題與討論

P.4

數位鑑識成為破案關鍵證據

©2015 勤業眾信版權所有。請勿外流，違者必究！P.5

企業內部常見侵害類型

內部人員

•操作疏失與錯誤

•營運流程控管不足或管理不當

•離職員工資訊外洩

外部人員

•競爭對手挖角

•競爭對手竊取資訊

•合作廠商資訊外洩

其他

•駭客攻擊入侵

•阻斷式服務攻擊

•惡意程式攻擊

相關舞弊事件

營業秘密/智財機密資料竊取

挪用公款及資產掏空調查

假帳及逃漏稅調查

個人資料外洩事件

委外維護廠商未經授權進行資料異動

商品消費爭議與交易糾紛確認

國際詐騙集團訟訴支援

駭客入侵事件調查

反托拉斯及反傾銷法訟訴支援

交易憑證及財務紀錄封存

採購舞弊與回扣收取調查

©2015 勤業眾信版權所有。請勿外流，違者必究！P.6

企業針對舞弊調查與數位鑑識能力之需求

老闆的交待：

出事時，我要第一時間進行證據保全，另要如何查明真相，把兇手揪出治罪！

員工的心聲：- 怎麼進行查明？• 怎麼鎖定範圍？怎麼開始進行調查？• 要治罪的鑑識原則及程序為何？• 第一時間要如何進行證據保全與封存?• 鑑識小組成員如何決定 ? 能力如何養成 ?

• 要透過哪些鑑識設備或工具？• 國內外司法體系對相關工具的要求，台灣是否有規範？

有人可以教我嗎？

可以找誰做？

P.7©2015 勤業眾信版權所有。請勿外流，違者必究！

數位鑑識用得到嗎？發生機率這麼低～沒這麼衰吧？

國內常見訴訟策略

Cyber crime law

妨害電腦使用罪

Data Protection Act

(個人資料保護法)

IPR & Debate

(智財權 & 營業秘密保護法案)

企業內部反舞弊與內控

(公司治理要求)

法令、法規或規範之要求

全球電子交易與數位匯流

日益增加，電腦犯罪比率

不斷提升

近幾年相關個人資料外洩

事件持續發生

企業內營業秘密及機密資

料外洩事件層出不窮

企業內部舞弊平均損失可

能高達營業收入5％(ACFE 2012 Global

Fraud Study)

面對層出不窮之內外部威脅項目 1

２

P.8©2015 勤業眾信版權所有。請勿外流，違者必究！

其實只要涉及到法律訟訴議題應會使用到

P.9©2015 勤業眾信版權所有。請勿外流，違者必究！

數位鑑識成為破案關鍵證據

P.10

案例 – 國內竄改數位證據相關實際案例

P.11

案例 – 國內鑑識案例結果示意圖

P.12

法院判決

臺灣新北地方法院101年度侵訴字第33

號刑事判決

法院認定檢察官所提證據不足以得出男

方有罪之結論，而判決無罪

另針對電腦內資料遭刪除一事，要求檢

察官應就扣案電腦內資料之刪除、覆蓋

一事，實施偵查加以釐清，如有不法情

事，應依法究辦。

P.13©2015 勤業眾信版權所有。請勿外流，違者必究！

數位證據於法庭檢視之重點

資料來源 : 邱獻民，刑事數位證據同一性之攻擊與防禦，民國96年。

攻防爭點 攻擊對策 防禦對策

數位證據來源庭呈之數位證據非出自於與案件相關之當事人

1.依該數位證據蒐集者之證述證明出處。2.依其他證據資料證明該數位證據來源與案件相關之當事人有關。

數位證據蒐集方式所蒐集之數位證據非公開在網路上之資料

公開蒐集數位證據之方法及步驟。

數位證據作者 庭呈之數位證據非當事人所製作蒐集其他數位證據及數位證據以外之證據資料個化數位證據之作者。

數位證據格式庭呈之數位證據格式非原始儲存格式

利用專家證人、鑑定、勘驗證明數位證據格式之變更不會更動數位證據之內容

數位證據儲存版本提出之數位證據儲存版本非原始儲存版本

利用專家證明版本更新不會變更睥位證據儲存之內容

數位證據儲存環境

提出之數位證據與原始儲存之軟硬體環境不同數位證據所在之儲存設備被植入惡意程式

提供原始檔案利用專家證明軟硬體作業環境不會變更數位證據儲存內容

數位證據內容 庭呈之數位證據內容遭增刪修改1.利用數位證據鑑識技術證明該數位證據之內容未曾遭增刪修改。2.說明數位證據自蒐集到庭呈至法院之過程。

數位證據建立時間與案件相關之當事人在數位證據建立時間、存取時間、修改時間有不在場證明

以其他證據資料證明該數位證據係與案件相關當事人所製作。

P.14

相關名詞定義

• 係指電腦網路相關設備之中，若拔除電源或關機後，即會消逝之資料內容。

揮發性資料

• 係指可基於目前作業系統中之檔案系統所存取之檔案資料。

邏輯性資料

• 以位元串流複製方式(Bit-Stream Duplicate)，將儲存媒體第一個位元複製至最後一個

位元資料，將含有數位證據之硬碟進行磁區完整複製作業。

儲存媒體副本

• 指數位證據蒐集、封存、運送、保存及調閱過程中，應確保證據完整性與一致性，避

免數位證據遭受篡改等不當之行為發生之可能。

證據監管鏈原則

• 係指各種用以儲存資料之裝置，如硬碟、外接式硬碟、隨身碟及記憶卡等。

儲存媒體

©2015 勤業眾信版權所有。請勿外流，違者必究

慘痛經驗 – 證據不能用

第一時間人為直接操作電腦未以證據保全及封存程序進行辦理

不符合以下鑑識原則

「不得再對電腦設備或儲存媒體中的數位資料造成任何改變」

©2015 勤業眾信版權所有。請勿外流，違者必究

Lesson Learned

要怎麼做，我的資料拿到法庭上才能被當做有用的【證據】?

• 事件發生前要有哪些機制去證明所留的資料不會被竄改？

• 事件發生時要怎麼蒐集證據以及將其保存？

要怎麼做，我的資料拿到法庭上才會被認為跟系爭事項有所關聯？

• 事件發生前要留什麼資料？

• 這些資料能不能證明發生的問題確實存在？

可不可以不要進到訴訟階段？

• 是否可從數位證據中釐清責任歸屬？

• 內部調查結果是否可直接於訴訟階段使用?

留哪些才夠調查與證據? 怎麼做才不會破壞證據力

數位鑑識概述

P.18©2015 勤業眾信版權所有。請勿外流，違者必究！

資安事件發生前後之因應措施

惡意人員

時間

非科技指標

預防 偵測 回應

科技指標

事前防控

稽核軌跡管理機制

稽核軌跡開啟及留存

稽核軌跡儲存及存取控管

稽核軌跡分析與預警機制

稽核紀錄定期審視機制

警訊及案件管理

事中緊急處置

警訊及案件管理

異常事件判讀

異常事件應急處置

第一時間數位證據保全及封存 (內部或外部)

事件發生

應變調查與數位鑑識證據環境、預警機制及證據保全

事後鑑識及改善

應變整合機制整合

數位證據辨識

數位證據蒐集、運送

數位證據管理

數位鑑識分析

鑑識報告出具

訟訴支援作業

P.19©2015 勤業眾信版權所有。請勿外流，違者必究！

數位鑑識(Digital Forensic)定義

牛津辭典定義：「the application of forensic science

technique to computer-base material.」；應用嚴謹的程序及科

技的方法去處理數位資訊設備相關鑑識工作

在法令規範下，利用科學驗證的方式來調查數位證據

針對數位證據的還原、擷取、分析的過程，還原事件原貌，以認定

事實之數位資料，可作為法庭訟訴之依據

數位鑑識之目的

辨視肇事原因與人員以區分責任

為未來或事後法律行動保留證據

民事案件，可與專業數位鑑識公司聯繫，或於

企業內部制定一套嚴謹的鑑識流程可茲遵循

刑事案件，可向執法機關通報處理

圖片資料來源： http://www.axn-taiwan.com/

P.20

數位鑑識作業階段

現場蒐證(Identify , Collect)

1. 辨識數位證物

2. 防止數位證據被污染

3. 需完整取得數位證據並執行驗證

證據封存及運送(Preserve)

1. 防止數位證物遭到破壞

2. 確保證據監管鏈不中斷

鑑識分析(Analysis)

1. 分析攻擊或資安事件來源

2. 還原攻擊或案件原貌

3. 列出案件相關時間軸

報告及法院呈現(Present)

1. 僅呈現與本案相關證據

2. 舉證之所在，敗訴之所在

12

34

P.21©2015 勤業眾信版權所有。請勿外流，違者必究！

猜猜看 !!! 以下圖示有哪些屬於數位證據 ??

P.22©2015 勤業眾信版權所有。請勿外流，違者必究！

您猜對了嗎 !!

光碟機及DVD Camera Image

手機隨身碟讀卡機 MP3 Player

硬碟

記憶卡

keylogger

電話

P.23

也可能存在想都沒想到的儲存媒體內

2010 FBI 電腦鑑識實驗室分析所扣押之儲存媒體

P.24

哪些是數位證據？

實體設備

• 電腦/伺服器/筆記型

電腦

• 儲存媒體(硬碟、隨身

碟、記憶卡)

• 行動影音設備

• 網路設備

資料型式

• 各種格式檔案

• 系統Metadata

• 揮發性資料(記憶體)

• 未被分配磁區

證據資訊

• 上網行為

• 系統Log

• 被刪除資料

• 程式執行紀錄

• 通聯紀錄

• 電郵內容

P.25

數位證據之定義與特性

數位證據（Digital Evidence）

數位證據扮演輔助性的角色，用來加強證明事實，數位證據不能作

為唯一之絕對證據，仍須環境證據佐證其證據證明力

數位媒體設備中，任何足以證明與案件相關之數位資料

案件A（黃X芳的電腦）

案件B（陳X慧的USB隨身碟）

案件C（陳X希與維修人員的電腦）

數位證據

電腦證據

電子證據電磁紀錄

網路犯罪

證據

數位證據之特性

易於修改性

無限複製性

不易個化性

無法直接理解

回復可能性

蒐證困難性

P.26

數位鑑識種類

Digital

Forensics

行動裝置鑑識 作業系統鑑識

網路封包鑑識

雲端鑑識遠端鑑識

惡意行為鑑識

特定檔案鑑識

儲存媒體鑑識

儲存媒體鑑識

P.28©2015 勤業眾信版權所有。請勿外流，違者必究！

儲存媒體

硬碟是眾多實體儲存媒體中的一種，其中能分割成多個邏

輯磁碟區

P.29©2015 勤業眾信版權所有。請勿外流，違者必究！

實體及邏輯磁區

實體硬碟

邏輯磁區

P.30©2015 勤業眾信版權所有。請勿外流，違者必究！

最小單位儲存單位：Sector

A sector is the smallest area

that may be written to on a

hard drive.

P.31©2015 勤業眾信版權所有。請勿外流，違者必究！

最小儲存空間：Cluster

31

A cluster is the smallest

allocation unit on a hard

drive.

It can use two or

more sectors to make

one allocation unit.

(2 sectors / cluster)

2 Sectors/Cluster = 1024 Bytes

1024 byte

cluster

P.32©2015 勤業眾信版權所有。請勿外流，違者必究！

檔案殘存區(File Slack)

當作業系統指定一個基本的儲存空間(Cluster)為4個Sector時，不

管多小的檔案都會被分配到相同大小的空間，當我們刪除該檔案

並將另一個存入的時候，假設存放在同一個Cluster，這次存放進

來的檔案如果沒有把2048 bytes塞滿，就可能會有資料存在殘存

區中。如果作業系統指定的Cluster越大，雖然系統的效率可能變

好，但也意味著File Slack能存放更多資料而不被發現。

File Slack

Sector1 Sector2 Sector3 Sector4

File1

File Slack

檔案殘存區(File Slack)(續)

當檔案寫入硬碟時，作業系統會根據檔案大小給予適合長度，但

如果檔案小於最小儲存單位，作業系統仍會給予一個Cluster

假設有一個 724 byte的檔案(File1)被寫入，並隨後被刪除此時實

體儲存空間並未真實刪除該檔案

假設有另一個檔案(File2)524 byte被寫入同一個Cluster，則殘存

區為圖下所示

File2 RAM Slack

File

Body of file

Slack Space

檔案殘存區(File Slack)

行動裝置鑑識

© 2014 勤業眾信版權所有 保留一切權利P.36

行動裝置種類

記憶卡 傳統與智慧型手機

記憶卡 智慧型手錶

GPS 平板電腦多媒體裝置Mobile Modem

© 2014 勤業眾信版權所有 保留一切權利P.37

行動裝置使用率 – 以Taiwan為例

研究機構國際數據資訊(IDC)調查

，2012年首季台灣行動裝置市場

總銷量221萬台，其中，智慧型手

機的滲透率超過7成，達165萬台

，功能手機則快速萎縮至56萬台。

根據資策會FIND調查2012年推估

，臺灣持有智慧型手機或平板電腦

的族群約有707萬人資料來源：資策會FIND(2012)/經濟部技術處「科技化服務價值鏈研究與推動計畫」

© 2014 勤業眾信版權所有 保留一切權利P.38

智慧型手機作業系統 – 以Taiwan為例

© 2014 勤業眾信版權所有 保留一切權利P.39

行動裝置鑑識層級

http://www.appleexaminer.com/files/iPhone_Levels.pdf

© 2014 勤業眾信版權所有 保留一切權利P.40

行動裝置鑑識層級 – Chip-off

Chip-off Forensic

http://www.binaryintel.com/

© 2014 勤業眾信版權所有 保留一切權利P.41

行動裝置鑑識層級 – Chip-off(續)

Chip-off Forensic

© 2014 勤業眾信版權所有 保留一切權利P.42

行動裝置鑑識工具

BitPim (CDMA)

CelleBrite UFED

Micro Systemation .XRY/.XACT

Oxygen Forensic Suite

Paraben’s Device Seizure

LogiCube CellDE

MOBILedit!

SIMCon

Cell Phone Analyzer

Fernico ZRT (camera/software)

EnCase Smartphone Module

http://www.google.com/url?sa=i&source=images&cd=&docid=1yktZNEWhtOsiM&tbnid=JmYVLCWn7zD43M:&ved=0CAgQjRwwAA&url=http://www.prweb.com/releases/2007/08/prweb548817.htm&ei=p9j4UbqEFMSnlAXKy4CoCg&psig=AFQjCNHQpN3uqLdATOZu46-tKq5DrgLDDA&ust=1375349287385474http://www.google.com/url?sa=i&source=images&cd=&docid=1yktZNEWhtOsiM&tbnid=JmYVLCWn7zD43M:&ved=0CAgQjRwwAA&url=http://www.prweb.com/releases/2007/08/prweb548817.htm&ei=p9j4UbqEFMSnlAXKy4CoCg&psig=AFQjCNHQpN3uqLdATOZu46-tKq5DrgLDDA&ust=1375349287385474http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=Wk8YfVvkhy-f-M&tbnid=vA7M4h1Ada0ZAM:&ved=0CAgQjRwwAA&url=http://www.newtechsystem.it/prodotti_13.html&ei=1dj4Uar3HcTFkwXA6YDADg&psig=AFQjCNGkAwQ8SLeE4fgM8M3IofNnP5ECLw&ust=1375349333563365http://www.google.com/url?sa=i&source=images&cd=&cad=rja&docid=Wk8YfVvkhy-f-M&tbnid=vA7M4h1Ada0ZAM:&ved=0CAgQjRwwAA&url=http://www.newtechsystem.it/prodotti_13.html&ei=1dj4Uar3HcTFkwXA6YDADg&psig=AFQjCNGkAwQ8SLeE4fgM8M3IofNnP5ECLw&ust=1375349333563365

© 2014 勤業眾信版權所有 保留一切權利P.43

資料存放於手機內的哪裡?

資料存於下列3個地方:

1. 手持裝置內記憶體

2. SIM卡

3. 記憶卡

© 2014 勤業眾信版權所有 保留一切權利P.44

行動裝置上有哪些資料

SIM卡 手機本身 外部記憶卡

電話簿

快速撥號

通話紀錄

SMS簡訊

手機資訊(IMEI等)

日期/時間

SIM卡資訊

個人筆記

通話群組

手機作業系統資訊

個人訊息

手機資訊(IMEI等)

GPS/地理資訊位置上網行

為紀錄

待辦事項

Apps

DATA

行事曆

通訊錄

快速撥號

相簿

應用程式

電話簿

電子郵件訊息

SIM卡資訊

即時通訊紀錄

日期/時間

© 2014 勤業眾信版權所有 保留一切權利P.45

行動裝置鑑識分析

通聯紀錄之分析及視覺化軟體1) 計算撥打次數2) 區分撥接通話3) 時間序列分析

數位鑑識之困境與挑戰

P.47©2015 勤業眾信版權所有。請勿外流，違者必究！

一般組織執行數位鑑識調查之困擾

數位鑑識概念不足，擅自操作環境造成證據滅失

缺乏數位鑑識能量，等待外援錯失黃金蒐證期間

缺少嚴謹數位鑑識工具，自行蒐證有被質疑風險

事件發生時，無法整合執行資安應變與鑑識蒐證

P.48

人為反鑑識技術之劃分

資料

隱匿

人為

抹除

足跡

混淆

密碼

保護無法檢視內容

混淆鑑識人員分析方向

避免被找出犯罪的證據

不留下任何資料

分析 分析

分析擷取、分析、呈現

P.49

檔案副檔名非圖片檔，但內容竟然是一張圖片

P.50 ©2015 勤業眾信版權所有。請勿外流，違者必究

這張圖有什麼問題 ??

http://www.illustratorworld.com/artwork/1336/

P.51 ©2015 勤業眾信版權所有。請勿外流，違者必究

原來是透過電腦繪圖軟體所虛構出之圖片

Pisan Kaewma (電腦插畫家)

http://www.illustratorworld.com/artwork/1336/

數位鑑識作業程序、工具及人員能力

P.53

數位鑑識應考量層面

數位鑑識應考量層面

鑑識人員

能力

數位鑑識

工具

數位鑑識

標準程序

數位鑑識工具說明

P.55

數位鑑識工具適用性

符合步驟可重製性及成果可驗證性

可參照NIST美國國家標準技術機構所贊助的CFTT專案

（Computer Forensics Tool Testing）

號稱有鑑識能力的工具充斥市面，但甚少經過檢測

P.56

常見的數位鑑識相關設備及工具

即時鑑識軟體

證據保全與分析 磁碟防寫設備 電子郵件分析

專業鑑識分析

監控平台

遠端鑑識輔助 密碼破解

高速鑑識複製設備 行動鑑識設備 視覺化資料分析 映像檔唯讀

Hint：

企業應在事前規劃好相關措施，留存相當紀錄，才能在關鍵時刻有足夠資訊進行分析預警與調查。

使用國際認可之專業級軟硬體，提供數位證物最完整之鑑識蒐集、擷取與保存服務。

P.57

數位鑑識分析軟體 - EnCase Forensic

Guidance Software 成立於1997年，為全球鑑識科技產業知名領

導產品EnCase之製造商。全球有超過27,000名之鑑識人員倚賴

EnCase產品進行電腦犯罪鑑識之調查，全球超過90%之執法機關

及各政府單位皆有使用EnCase產品。

EnCase所提供的證據在全球各國的法院被採用

國際執法人員普遍使用

國外法院認可

安裝於Windows平台

可調查各種檔案系統

關鍵字搜索功能

數位鑑識標準程序說明

P.59

數位鑑識調查標準程序之最佳實務

美國國家鑑識科學中心(SWGDE) 歐洲刑事鑑識學會 (ENFSI)

國內警察偵查犯罪手冊

…數位鑑識標準程序

參照

最佳實務

美國司法部(NIJ) 英國警察協會(ACPO)

最佳實務

最佳實務最佳實務

Best Practices for Computer ForensicsGuidelines for Best Practice in the forensic examination of Digital Technology

The Good Practices Guide for Computer Based Evidence

Forensic Examination of Digital Evidence - A Guide for Law Enforcement

ISO/IEC 27037

Guidelines for identification, collection, acquisition, and preservation of digital evidence

電子證據國際組織(IOCE)

G8 Proposed Principles For The Procedures Relating To Digital Evidence

P.60

數位鑑識蒐證調查四大原則(ACPO)

• 所有數位鑑識的動作（包含蒐證、扣押、儲存、復原、分析、鑑定…等），都不得

對電腦設備或儲存媒體中的數位資料造成任何改變。非法採證調查或任何不符合標

準鑑識流程的動作都會影響這些數位資料在法庭上的證據能力。

原則 1

• 數位鑑識以檢驗處理軌跡(Trail) /備份檔案（backup copy）為原則。若有必要直接檢

視原始數位證物（original copy），必須確保檢驗人員具備一定的專業能力，且對於

他所採取的每一個動作都必須要能夠解釋其相當的動機、目的與關聯性。

原則 2

• 鑑識調查過程中對於數位證據所採取的的所有動作都必須留下詳盡的稽核軌跡或證

物監管鏈（Chain of Custody），供檢核與稽查。若將同樣的數位證據交由任一獨立

第三方進行檢驗，必須能夠得到相同的結果。

原則 3

• 確保調查過程中的所有動作都嚴守調查原則。

原則 4

P.61

數位鑑識相關標準程序

規劃階段 執行階段 報告階段

案件基本資料蒐集

調查範圍決策

鑑識前置準備

勤前會議

維持現場完整

記錄現場現況

證據擷取、蒐集及運送

鑑識報告撰寫

調查結果簡報

鑑識結果檢驗

證據呈現與法庭準備

鑑識分析

依循證據鏈原則(不造成任何資料原始狀態的變動)

P.62

數位證物擷取判斷流程

P.63

數位證據蒐集作業– 製作儲存媒體副本

在數位鑑識過程中，為符合鑑識原則精神，又能利於進行後續的

檢查分析階段，必須針對所封存之儲存媒體進行鑑識性複製，製作

出與原始證據之實體內容完全相同的證據映像檔(image file)及儲存

媒體複本。

image

file

原始媒體封存 使用複本分析

位元串流複製方式(Bit-Stream Duplicate)

P.64

雜湊值一樣用複本分析、調查出的結果才有意義。

數位證據蒐集作業– 製作儲存媒體副本

所謂的雜湊運算值(HASH)，主要基於雜湊演算法的特性，即兩種

非常相似的資料，就算只有一個位元不相同，所計算出的雜湊值

都會完全地不一樣，所以通常會用於驗證在鑑識性複製所產出檔

案之完整性是否有受到變動影響。

P.65

當複本做好之後…

理想狀況

原始媒體封存 製作一個備份用複本(備份件)

再製作一個分析用複本(工作件)

無法封存原始媒體時

原始媒體繼續使用 製作一個複本作為原始件

製作備份件 製作工作件

原始媒體繼續運作，HASH勢必會改變，因此務必確實記錄製作複本當下

原始媒體的HASH值

P.66

數位鑑識相關標準程序(續)

數位證據封存作業程序

鑑識人員能力

P.68

鑑識人員能力強化

P.69

鑑識人員能力強化(續)

數位鑑識相關課程規劃

模組

課程模組說明 課程名稱

認知模組

針對數位鑑識觀念進行基礎認知學習，並對於事故發生時如何遵循鑑識程序之要求進行基本處理予以說明

1) 數位鑑識概論與法律議題說明教育訓練2) ISO/IEC 27037:2012 數位鑑識國際標準教育訓練

程序模組

說明數位鑑識作業標準程序，參與同仁可習得蒐證前之相關準備工作，並針對不同環境設備之實務標準程序加以理解，並認識數位鑑識之國際標準程序

現場蒐證前置準備與現場標準蒐證程序教育訓練

技術模組

深入介紹相關專業數位鑑識工具之運用與不同環境下之分析方式，另再針對新穎技術之鑑識分析方式進行分享。

1) 揮發性資料鑑識分析說明教育訓練2) 數位鑑識工具說明教育訓練3) 鑑識工具實際操作能力提升Hands-On培訓

4) Windows平台鑑識分析教育訓練5) Unix-Like平台鑑識分析教育訓練6) 行動裝置鑑識分析教育訓練7) 駭客入侵鑑識分析教育訓練8) 雲端鑑識分析教育訓練9) 現場鑑識分析教育訓練

結論

P.71

P.72

結論

*鑑識環境建置

*鑑識能力養成

*異常行為分析

*應變/鑑識整合

*證物蒐集分析

*證物監管保存

*證物呈交諮詢

*科技鑑識調查

*員工不法行為

*駭客攻擊

*個人資料外洩

*機敏資料竊取

*訴訟舉證支援

*跨國訢訟支援

*eDiscovery

• 訴訟時• 訴訟前

• 事發後• 日常時

問題與討論