數碼搜証及調查 Digital ​Forensics & Investigations數碼搜証及調查 Digital ​Forensics & Investigations

數碼搜証及調查 Digital ​Forensics & Investigations

Digital Forensics的定義為: “branch of forensic science encompassing the recovery and investigation of material found in digital devices” 主要的過程在於”利用特別的軟件和技術”經過”科學的方法去處理於資料儲存設備相關搜証工作,當公司或企業遇到資訊相關事故時,如何還原事件發生的真相,即為鑑証的範圍,當您需回應法律事務或調查時,一般都需要執行這個程序。
在現今資訊高度電腦化的時代,科技與法律常常是每家公司管理人員需要面對的重要議題,公司在面對資訊相關的法律問題時,往往因為未能充份理解證據的重要性,而遭受損失。超過90%的電腦資料是以格式分散儲存在各個伺服器中,而所有的資訊盜竊、侵權案例,超過70%的案例會留下數碼痕跡 (Foot print)。如何以科學的方法,在具有證據的前題下把所有的資訊證據正確搜集及分析,轉化為可理解的結果,則為電腦搜証服務的主要工作。
電腦搜証需要根據現有系統中所留下的資訊來進行研究分析,把與事件有關聯的資訊證據抽出, 電腦搜証工作者往往需要花費大量的時間將資料整理及分析。
搜証可分為下列步驟:

1. 備份 ( Backup ) 立即把系統備份為影像檔, 以免證據被破壞
2. 判斷 (Identify) 數碼證據存在地方
3. 搜證(Collect) 在不破壞證據的情況下進行搜證
4. 保存 (Preserve) 搜集到的原始證據必需符合嚴謹的程序
5. 分析 (Analysis)開始進行一連串的研究分析
6. 鑑證報告(Report ) 把分析得出的結果以容易理解的格式報告。

在公司發生緊急事件時,需要考慮許多層面,大多情況下沒有注重數碼證據鑑證的方法及程序,導致許多重要的關鍵證物在不當的操作下遭受破壞,資料永遠遺失,而大部份公司欠缺危機意識 ,未有為公司作出事件發生前作需要的防備。

數碼證據的範疇:
數碼證據可能存在的領域範疇非常的廣泛,只要是存在的電子儲存設備均屬於數碼證據搜集的目。<

數碼證據映像檔:
為了保護數碼證據的原始證物資料免遭受到破壞,在進行鑑証前首先會為原始證物生成映像檔,此映像檔的數碼內容會與原始證物的數碼內容一模一樣,我們會利用 Bit-Stream (MD5 或 SHA1_ 的複製方式將證物磁碟的第一個位元保留複製到磁碟的最後一個位元資料, 而往後的鑑証過程只會利用此映像檔來進行。

檔案回復:
當檔案被刪除後,一般系統不會實際刪除儲存於儲存體的檔案, 因此資料的修復可以分為兩種方式進行。
第一種方式主要從檔案系統的索引的找尋資料作出回復,若檔案索引的資料未被覆寫一般情況下可以順利的把檔案回復。 第二種方式若檔案索引已被覆寫則必需到磁碟標示為未使用的實體貯存位置 (Unallocate Area) 進行資料搶救,此方法會根據檔案的分散程度來判斷回復的難度 ,只要資料還存在於儲存媒體就有機會救回。

數碼證據搜尋:
數碼證據的搜尋是所有分析中非常重要的一環,我們通常會以下兩種方式進行:
1. Linear Search 的方式, 利用關鍵字轉成適當的編碼方式來搜尋整個磁碟資料以作比對, 此方式有效找出所有貯存在硬碟 Unallocated 區或 file slack 未使用區段,但每次搜尋相當長的時間必需要考慮各種表達方式才能精準找到重要的資訊或避免找到太多無關連的資訊
2. 在硬碟內以片語或句子的方法來為每個關鍵字建立索引資料,建立完成索引之後可加快搜尋速度, 缺點是利用片語或句子組合來判斷及資料在 Unallocated 區或 File slack 區域的索引的準確性。


- 資料損失
重要的客戶資料/財務資料/產品設計檔案給員工複製及外洩
競爭抄襲或盜用你開發的軟體原始程式碼
重要資料被刪除或硬碟毀損,需要資料修復
重要文件密碼遺失,需要專業協助破解
即將離職員工抄走公司重要資料

- 電子郵件問題
利用電子郵件發佈不實資訊
利用電子郵件洩露商業秘密
利用電子郵件大量發送垃圾或病毒信件,追查發送人的資訊
電子郵件系統遭入侵及相關詐騙事件調查

- 訴訟案件的權益損失
舉證時忽略可能的重要電子證據或因程序不符而影響案件勝訴機會
缺乏舉證的有效性能力而錯失勝訴機會

- 員工不當網路使用行為
在公司傳遞情色檔案或瀏覽色情網站
利用網路進行騷擾
不當使用網路行為舉證

- 公司疑遭駭客入侵
確認是否已遭感染並追蹤駭客源頭
找出入侵手法可有效立即防制,避免再遭受害
控制可能的損失
確認感染的範圍

想避免電腦犯罪問題對您的公司導致不必要的損失嗎 ?我們提供專業的顧問服務及必要的防護措施建議