一次使用多種鑑識程式 以交叉驗證提高證據公信力

中央警察大學資訊密碼暨建構實驗室(ICCL)

數 位證據的鑑識結果常常因為所使用的工具軟體不同而導致有所差異,而且僅僅依賴一種鑑識軟體所做的鑑定結果,會有人為操作錯誤以及產生誤差的可能性,也容易 被質疑該鑑識軟體的可靠性。因此,本文將以相同的數位證據在Windows-Based鑑識工具以及Unix-Based鑑識工具下的鑑識結果,達到不同 作業系統之間數位鑑識公信力為目的。

傳統犯罪隨著當代資訊科技與網路的發達,而產生許多新興型態的資訊犯罪模式。犯罪者藉由資訊科技與網路將犯罪領域延伸,傳統的偵查技術和方法不足以偵查存留在資訊設備與網路中的線索,再加上網路具有隱匿的特性,已逐漸成為治安的死角。  
  因此,唯有藉助專門的電腦犯罪偵查技術和方法才能有效地進行偵查。現今的資訊犯罪偵查以結合傳統證據和數位證據偵查模式為主要趨勢。  

由於數位證據的鑑識結果會因為所使用的工具軟體不同而有差異。而這其間的差異,往往是嫌疑人及其辯護律師的質疑重點。  

法官也常將鑑識結果,轉交由原鑑識單位以外的第三方做進一步的檢驗,以確定其結果是否正確無誤。這個證據檢驗的往返,不只浪費許多時間,也突顯出數位鑑識結果未經交叉檢驗的缺點。  

為了要得到具有公信力的檢驗報告,就必須了解各項鑑識軟體的功能與特點,比較並確認是否存在支援或互斥的關係。  

如果能在送上法庭之前就先以不同種類的工具,做第二次檢驗,例如對於Windows作業系統的數位鑑識結果,除了第一次檢驗時使用Window- Based的EnCase工具軟體作鑑識之外,再一次使用Window-Based的Forensic Toolkit(FTK)的鑑識軟體做第二次的檢驗。  

而對於使用FTK工具軟體做第一次檢驗的Windows作業系統的數位鑑識結果,再一次使用EnCase工具軟體做第二次的檢驗,以驗證其所得到的結果是否相同。  

那麼,發生人為操作錯誤的機率,應可降到最低,並且,也能大幅提升數位證據的法效性(即「證據能力」)。  

數位鑑識及工具簡介 
數位鑑識所得到的數位證據並不是實體物質,並且其具有三個主要的特性:容易複製與修改、不易證實其來源及完整性、無法直接被人類所感知及理解的內容。  

在數位鑑識的過程,為了使數位證據具有法定效力,根據ACPO國際電腦證據組織(Internation Organizatioin of Computer Evidence)於1999年提出的「The Good Practice Guide for Computer-Based Evidence」電腦證據指導原則,才能讓數位證據在法庭上具有其法定效力。  

數位鑑識程序 
就一般的情況來講,具備證據能力之後,該證據是否能夠有效連結案件,呈現證明事實,形成法官心證,亦即證明力,其關鍵就在於證據和犯罪事件關聯性是否緊密。
 
在部分執法人員如果缺乏數位證據蒐集、檢驗、分析的訓練、知識與技術,不熟悉數位證據處理準則並且沒有遵照程序取得數位證據,證據的取得是否具備證據能力備受質疑,遑論所證犯罪事實是否足以採信。  

數位證據易於複製與修改、不易證實來源與完整性、不易蒐集取得、無法被人類直接感知與理解等特性,取得證據的作為更須小心謹慎,避免脆弱的數位證據因人為不當取證因素,而喪失證據能力及減弱證明力成效。 邏輯性鑑識的程序運作包括以下幾項:  

1. 證據收集:最常見的做法為磁碟備份、復原及密碼破解工具軟體。事實上,證據收集必須在任何資訊能夠存在的角落進行收集工作。不管是網路上或電腦中,根據犯罪手法的不同,得使用不同的工具進行蒐證。  

2. 證據保存:對脆弱的數位證據來說,保存的工作相當重要。因為保存不當會降低 證物日後在法庭上的證據力和證明力。對於採證的過程應詳加記錄,且要在不改變或破壞證物的情況下取得證物。非必要時也不得關閉電腦,因為像記憶體中揮發性 的資料會隨著電源的關閉而流失,重要的證據可能因此而消逝。另外,蒐證時盡可能保持兩人同時參與的原則,防止資料單一竄改的顧慮。  

3. 證據檢驗及分析:必須從收集到的資料中找尋與犯罪相關的證物,包括文字、圖片、影像、聲音及被刪除的檔案。在取得證據之後,將證物做分類、比對及個化,並嘗試與不法行為做連結,以確認嫌犯者的罪行。
 
4. 證據呈現:由於數位證據是抽象的,加上法官等司法人員對電腦鑑識知識並非全然清楚,所以證據的取得必須做完整的解釋說明,且要能邏輯性說明在蒐證的過程中證物沒有遭到改變,以確保證物的證據力。  
數位鑑識工具 
因應不同的網路犯罪(Cyber Crime)型態,一般的作法是對於犯罪現場的電腦系統做出不同的檢驗,利用鑑識工具將電腦主機的系統建立複本,再從複本上進行徹底的檢驗及搜尋動作。  
較常使用的鑑識工具包括EnCase、NTI Forensic Utilities、Access Data's Forensic Toolkit(FTK)、Knoppix STD等,雖然有些工具有圖形化介面,但仍以文字介面居多,使用者最好具有Unix/Unix-like的使用背景。  

以下針對最常使用到的鑑識工具軟體EnCase、FTK(Forensic Tool Kit)和TCT(The Coroner’s Toolkit)做概略介紹。  

Encase
Guidance software公司所生產的EnCase軟體,在電腦鑑識領域享富盛名,此軟體的評價深受全世界肯定,而且擁有一群研究團隊時常公開發表新的鑑識技術,更為此軟體打下一針強心劑。  


此軟體為目前台灣地區警政署、法務部調查局及國安局等相關單位最常使用的電腦鑑識軟體,同時也是國際大多數國家的法庭上最具公信力之電腦鑑識軟體之一。  
Encase主要的特色可歸納如下:以具有法律效益的鑑識方法取得鑑識資料,並為世界各地之法院採證;在不變動證據的前提下進行物證分析;以鑑識的角度取 得資料,不管是被隱藏、刪除或覆蓋的檔案;檢閱功能可幫助非鑑識操作人員很容易地檢視證物;可快速簡單地產出完整的鑑識報告。  

Forensic Toolkit(FTK)
為利用Windows內建在Win32的命令列的工具來協助檢視NTFS分割硬碟中的每一個檔案。這些檢視動作包括檔案最後一次的存取時間,以及顯示被隱藏的檔案等。

 
FTK鑑識工具最大的特色莫過於其資料庫式的資訊架構,當磁碟的副本被匯入時,其針對資料庫的內容進行排序或以字串比對出磁碟副本內的檔案,而不需要掃描整個磁碟的副本資料。 

FTK可以分析、獲取、組織並保存數位證據,透過索引化的概念將所有文字內容建立索引,強大的過濾及搜索功能為其主要特色。但礙於其價格昂貴,且使用前必須有概括性的了解,一般的機構或公司部門較少使用。其主要的工具包括:  

‧ Forensic Toolkit(FTK):數位鑑識分析工具
‧ Password Recovery Toolkit(PRTK):密碼分析、破解與回復工具
‧ Registry Viewer:登錄檔分析及解密工具
‧ FTK Imager:數位證據預覽及獲取映像工具
‧ Wipe Drive:硬碟資訊及資料完全清除工具 


The Coroner’s Toolkit(TCT)
The Coroner’s Toolkit(TCT)是一套由C和Perl語言寫成的鑑識工具集。它可以用來搜尋或分析Unix(Unix-like)系統上的資料,簡單來講,它是一款收集許多工具的組件包,可用於分析Unix環境。  


此組件包中包含Grave-Robber(擷取分析檔案的資料)、Mactime(找尋Mtime/Atime/Ctime工具)、Unrm(找出位置在Unallocated尚未配置空間中的檔案)以及lazarus(分析來源所擷取的資料)。分別說明如下:
 
1. Grave-Robber
Grave-robber是TCT的核心工具,主要用來下達指令以擷取檔案系統中的資料,或是儲存一些需要分析的檔案。在正常的情況下,Grave- Robber會掃描整個系統,並盡可能地擷取所有資料,例如暫時(Temporary)資料(如網路封包狀態)、系統硬體結構(特別是磁碟或磁碟分割)、 檔案系統的重要檔案如Configuration Files、Log Files。  


但是,該工具如果一定要以可取得系統最高權限的身分(root)來執行,它會阻止使用者擷取root權限的檔案,所以為確保所有的證據資料皆能被擷取,最好以root身分執行此工具。  

2. MACtime
這是一個收集Mtime、Atime、Ctime的鑑識工具。Mtime(Modified time)是檔案最後被修改的時間,Atime(Access time)是檔案最後讀取的時間,而Ctime(Changed time)是檔案屬性最後被改變的時間。這些時間很容易被竄改,必須要小心處理,以免造成證據的更動。  


3. Unrm和Lazarus
一般人以為損壞或遺失的檔案無法復原,其實它還在硬碟的某一個地方,只是需要工具把它重新找回來,而這兩個工具,便如同大家常使用的FinalDa-ta 工具般擁有救回原來檔案的能力。Unrm是一個以C語言寫成的工具,它可以找出未配置空間(Unallocated)的資料,挖掘潛在的檔案。例如有 20GB的硬碟空間已經使用12GB,它可以把剩下8GB的未配置資料復原。接著,透過Lazarus從Unrm復原的檔案或所有檔案內找尋需擷取的資 料。Lazarus適用在UFS、EXT2、NTFS、FAT32檔案系統上,其擷取資料之後所呈現的型式會隨著不同檔案系統而有所不同。  


數位鑑識工具與交叉驗證 
鑑識人員可利用現有的鑑識軟體去執行鑑識工作,但是獲得數位證據後並無法馬上成為可用的數位證據,甚至無法稱作具有「證據能力」的數位證據。  

所謂「證據能力」是指可以用來作為證據的資格,法律對一個物件是否可以作為證據通常都會有一定的限制。  

依據刑事訴訟法第154條第2項規定:「犯罪事實應依證據認定之,無證據不得認定犯罪事實。」而其所謂證據則是指刑事訴訟法第155條第2項所規定,具有證據能力且經過合法調查的證據。  

換言之,並非所有的證據都能認定該犯罪事實,要能夠證明犯罪事實的證據,必須先具備有證據能力,如果具有可以作為證據的資格,經過合法的調查程序,使法官 對於該證據的證明力(證據價值有所評斷)信服,最終的心證才具有認定犯罪事實的能力,依據刑事訴訟法第155條第1項規定:「證據之證明力,由法院本於確 信自由判斷,但不得違背經驗法則及論理法則。」  

就像前面所論述的,數位證據的鑑識結果,會因為所使用的工具軟體不同而有差異,僅依賴一種鑑識軟體所做的鑑定結果,有人為操作錯誤及產生誤差的可能,也容易被質疑該鑑識軟體之可靠性,因此該數位證據連證據能力都不足,更遑論以其作為證明犯罪事實的證明能力。  

雖然,對同一份證據副本,使兩種鑑識軟體進行檢驗,會耗費許多的時間與心力。然而,此舉也減低發生人為操作錯誤的機率和風險。  

在鑑識軟體的可靠性及數位證據「證據能力」不足的情況下,透過交叉驗證讓數位證據足以被法院所採信,以完成具證據能力的數位證據是勢在必行。  

至於該證據能證明的程度如何,當然就交由法官的自由心證。因此,將首先取得的數位證據透過整合鑑識,其結果以供日後證據之交叉分析使用,如圖1和圖2所示:  




▲圖1 尚未具「證據能力」的數位證據。



▲圖2 具「證據能力」的數位證據。

統整上述的概念理論,對於證據能力和證明力的區分,可以用圖3的數位證據法效性轉化過程來簡述:  



▲圖3 證據之證據能力和證明力。



▲圖4 交叉驗證。
 
交叉驗證 
本文內所提到的交叉驗證涵義,是指對於數個尚未檢驗的待檢驗檔案,透過選擇的兩個鑑識工具去驗證比對後,將其結果進行比較分析,檢驗是否具有相同的結果? 是否完全無關?抑或是互相排斥?另一種交叉比對資料方法,可以互補證據的不足,或者加強對數位證據之證據能力,如圖4所示。
 
鑑識工具的交叉驗證 
這裡以EnCase、FTK與TCT這三種整合型電腦鑑識工具做探討,討論其功能特色,並做交叉檢驗比較整理,了解Windows-based的圖形化介 面鑑識工具軟體(EnCase與FTK)與Unix-Based的命令列模式鑑識工具軟體(TCT)之間的操作關係,以確保交叉分析的效益和可行性,而其 比較差異如表1所示。  

表1 鑑識軟體識別檔案類型比較表 
在表1中鑑識軟體交叉驗證所分析的檔案標的,以常見到的檔案為主軸,例如Microsoft Office文件軟體的.doc或.docx、各類繪圖所用的應用軟體、pdf檔案、Web檔案格式(如HTML Files)、映像檔(Image)等,讓鑑識人員對常見的犯罪檔案格式進行檢驗,其數位證據的交叉驗證可以一目瞭然,大幅提升數位證據可信度驗證的效率 問題。  

由表1並可得知,大部分常見的檔案類型用EnCase和FTK鑑識軟體幾乎都可以互相交叉驗證比對證據,但TCT鑑識軟體由於是Unix-Based的命令列模式,所以無法直接檢視其內容檔案,但透過另存方式還原檔案檢視其內容後,也可以和其他數位鑑識工具軟體比對分析。  

歸納總結 
數位證據在面對嫌疑人及其辯護律師的質疑下,究竟是否具有證據能力,常是此證據是否可以採用的關鍵,因此法官常將鑑識結果轉交由原鑑識單位以外的第三方做進一步的檢驗,以確定其結果是否正確無誤,以確保其具有證據能力。 

在這證據檢驗的往返之間,不只浪費許多時間,也突顯了數位鑑識結果未經交叉檢驗的缺點。而且,僅依賴一種鑑識軟體所得到的鑑定結果,有人為操作錯誤及產生誤差的可能,也容易被人質疑該鑑識軟體的可靠性。  

而透過鑑識軟體之比較,可得知EnCase、FTK和TCT這三大鑑識軟體各有其優缺點,例如EnCase可支援各種 同系統及環境所使用的鑑識軟體,但是EnCase在搜尋檔案及回復檔案的效率上不如FTK來得快,而FTK只支援Windows環境下的鑑識工作,在 Linux系統環境中只有EnCase及TCT可以完成工作。  

所以,各種不同的鑑識軟體各有其優缺點,鑑識人員可依不同的環境及犯罪現場來適時使用不同的電腦鑑識工具交叉比對數位證據,經由上述所整理的結果,期許能讓電腦鑑識人員節省使用電腦鑑識工具的時間,得以在第一時間掌握重要數位證據的內容,以為鑑識報告的依據。  
就實驗比較表來觀察,對於交叉檢驗所使用的鑑識軟體,可以提出如下的論點分析:Windows作業系統的鑑識,若是使用FTK鑑識軟體做第一次鑑定,再交 由EnCase鑑識軟體來做第二次檢驗,或是使用EnCase鑑識軟體做第一次鑑定,再交由FTK鑑識軟體做第二次檢驗,兩者所得的結果,可以斷定一樣。 因此,Windows作業系統的鑑定,僅需要EnCase或FTK其中一種軟體即可以得到具有公信力的鑑識結果。  

另外,在Unix作業系統的鑑識方面,基於一般企業內部網路多數使用Linux、Solaris、SunOS與FreeBSD等Unix-like的作業 系統,作為Web Server、File Server、Mail Server與FTP Server的伺服器主機,使用TCT鑑識軟體做第一次鑑定,再輔以EnCase可外掛File Viewer的圖形介面與細部說明,以作為補強式的第二次鑑識,將使鑑識結果更具公信力。 

結語 
本篇在了解鑑識工具關聯後,提供了交叉檢驗數位證據的方法,可兼顧鑑識需求以及證據的證據能力,作為提升數位鑑識的可信度與說服力的準則。另外須注意的是,在鑑識工具的交叉檢驗實驗方面,數位鑑識的檢驗結果,會因為所使用的工具軟體不同而有差異。  

為了要得到具有公信力的檢驗報告,必須了解各項鑑識軟體的功能、特點與極限,也須提升數位證據在法庭上的可用性,進而獲得數位證據的「證據能力」。最後,再由法官心證的證明力去研判對犯罪事實的可用程度。

轉自 http://www.netadmin.com.tw/article_content.aspx?sn=1107140002

0 意見: