Liveanalysis数位鉴识系统平台的设计与实现.docx
- 文档编号:24192461
- 上传时间:2023-05-25
- 格式:DOCX
- 页数:13
- 大小:259.30KB
Liveanalysis数位鉴识系统平台的设计与实现.docx
《Liveanalysis数位鉴识系统平台的设计与实现.docx》由会员分享,可在线阅读,更多相关《Liveanalysis数位鉴识系统平台的设计与实现.docx(13页珍藏版)》请在冰豆网上搜索。
Liveanalysis数位鉴识系统平台的设计与实现
Live-analysis數位鑑識系統平台的設計與實現
嚴珮華
國立高雄師範大學資訊教育研究所研究生
amber8520@
楊中皇
國立高雄師範大學資訊教育研究所教授
chyang@computer.org
摘要
由於電腦的普及與網路的快速發展,除了帶來改變了我們生活型態,也改變了犯罪的手法,許多犯罪以電腦當作犯罪的工具、場所及目標,此類的罪犯案件也日益遽增,面對高科技的電腦犯罪案件,傳統的鑑識人員已無法完整的採集證據,須藉由電腦鑑識工具的輔助收集與分析數位的證據或是將破壞的資料還原。
本研究以Linux為開發平台,使用開放原始碼之數位鑑識工具,以確保鑑識軟體的穩定性及其所採集證據之證明力,為了避免因關機造成記憶體資料流失,以Live-analysis的收集數位證據,另外製作LiveDVD/USB進行映像檔之製作與分析,最後在結束鑑識流程前,以MD5及SHA-1編碼進行檔案確認,在司法審查上確保數位證據的公信力。
關鍵字:
數位鑑識、數位證據、Live-analysis、LiveDVD/USB
壹﹒前言
隨著資訊科技的蓬勃發展,電腦已經成為人類生活、工作、娛樂上不可或缺的一部分,在高科技為我們生活帶來便利之餘,使得電腦犯罪也隨之日益增多。
近年來,高科技犯罪案件層出不窮,根據內政部警政署警政公佈97年1-6月台灣電腦網路犯罪案統計[1],網路詐欺4,981件(占41.48%),妨害電腦使用2,023件(占16.85%)次之,違反兒童及少年性交易防制條例1,871件(占15.58%)第3,侵害智慧財產權1,340件(占11.16%)第4,一般妨害風化1,131件,(占9.42%),可見電腦犯罪案件的嚴重性。
而電腦/網路犯罪的現場,已不再只是傳統的犯罪跡證,鑑識人員需依賴鑑識工具取得數位證據。
數位鑑識所得之數位證據是無實體非物質的,並具有以下三個特性[11]:
(1)可以輕易的複製與修改、
(2)不易證實其來源及完整性、(3)無法以人之知覺直接感知、理解其內容。
在數位鑑識的過程,為了使數位證據具有法律效力,須參考ACPO國際電腦證據組織(InternationOrganizatioinofComputerEvidence)於1999年提出「TheGoodPracticeGuideforComputer-BasedEvidence」的電腦證據指導原則,才能使數位證據具有法律效力[2]。
貳﹒文獻探討
本研究著重於電腦系統的安全性及系統篡改、受損之分析與還原,並強調據證之同一性,才能在法庭上成為有效的及可信賴的證據,依據研究所需之相關名詞進行文獻分析。
一、數位鑑識
由於科技的快速發展,提供我們便利的生活,也成為駭客或是心懷不軌人士犯罪的利器,進而進行資料竊取、篡改等不法行為,而我們如何找出這些違法的行為軌跡,則有賴於數位鑑識的技術。
『數位鑑識』一般電腦中資料的儲存都是電磁記錄,凡指針對數位資料所進行的鑑識,我們皆稱為數位鑑識[3]。
一般而言,數位鑑識分析的目的是鑑定調查的數位證據,其應用包含電腦入侵、鑑識公司內未經授權電腦的存取、兒童色情圖片及任何實體電腦的犯罪。
數位鑑識的程序一般分為三個階段[9]:
採證(Acquisition)、分析(Analysis)、呈現(Presentation)。
採證階段(AcquisitionPhase):
此階段的重點是儲存數位系統的狀態及所有的數位資料,以便稍後進行分析,通常利用鑑識工具來進行整個硬碟的拷貝,產生的檔案我們稱之為映像檔(imagefile)。
分析階段(AnalysisPhase):
鑑定我們所採集的證據,包含檔案、目錄內容的審查及還原被刪除的內容,分析數位證據與案件的關聯性。
呈現階段(PresentationPhase):
將證據分析的結果文件化,提供檢調單位與法院審理案件時的參考依據。
目前數位資料進行採證與分析的過程中,我們無法以人工的方式完成,必須仰賴數位鑑識工具的協助,而目前知名的鑑識工具如EnCase、ForensicToolkit(FTK)等工具[14],皆是商業軟體,其價格昂貴,對於一般企業或個人恐怕無法負擔。
但若想自行開發工具,依據中央警察大學林宜隆、王旭正博士等研究[16],認為自行撰寫並不是很好的方式,因為其公信力易遭受質疑。
故本研究採用目前開放原始碼的數位鑑識軟體為基礎來進行系統的開發與實現。
二、數位證據
電腦犯罪有別於傳統的犯罪行為,在蒐證的過程中,鑑識人員所取得的資料皆為數位的格式,稱之為數位證據。
數位證據[6]是指儲存於電腦媒體中該資訊能構成犯罪要件的數位資料,如:
圖片、聲音等等,其包含電腦科學、鑑識科學與行為證據分析等三個領域[3]。
由於數位資料非實體的物質,其具以下幾個特性[5]:
無限及無差異複製、不著痕跡的增修改、原始作者不易確定、有還原的可能性、資料完整性驗證等性質。
鑑識人員在採證的過程中,應注意幾個基本原則:
在取證的過程中,應在不會對原始證物有任何變更的情況下進行、必須要有辨法證明所採集之證物源自扣押的證物、進行鑑識分析時亦不能對證物造成更動或破壞。
數位證據的保存也是鑑識過程中的一大要素,數位證據可容易的被修改、刪除,因此鑑識人員到達現場時,進行的每一個行為、動作都必須記錄下來,包含時間、對證物所做的操作、設備的任何拆卸等等,在取證的過程中也應遵循兩人法則,避免鑑識人員修改或是破壞證據。
三、數位鑑識工具
本研究伺服器端使用開放原始碼的TheSleuthKit及Autopsy進行鑑識分析,提供不同格式的檔案分析,且提供網頁瀏覽的方式進行映像檔分析,其功能及特色如下:
(一)TheSleuthKit
TheSleuthKit[10],全名為The@stakeSleuthkitKit(TASK),是一開放原始碼的軟體,它是用C語言與Perl撰寫,以TheCoroner'sToolkit(TCT)為基礎進行改寫,可偵測Unix或微軟作業系統的檔案及分割區,可協助鑑識人員進行檔案還原及映像檔的製作,並且可顯示被Rootkit隱藏的檔案。
TSK架構可分為四層運作[13],分別是檔案系統層(FileSystemLayer)、資料層(ContentLayer)、資料描述層(MetadataLayer)、人性化介面層(HumanInterfaceLayer)。
檔案系統層:
一個磁碟包含一個或多個分割區,每個分割區都含一個檔案系統(例如:
FFS,ext2fs,FAT等),本層可辨識檔案系間彼此的差異。
資料層:
能找出檔案與目錄所存放的位置。
資料描述層:
本層是描述檔案及目錄的資訊,包含UNIX的inode架構、NTFS的MFT資訊及FAT目錄的架構。
人性化介面層:
此層允許使用者以方便與直接的方式進行資料的鑑識,而不是如上一層的指令,必須對metadata有所認識才可分析資料。
另外TSK還提供時間線(TimeLine)與雜湊資料庫的功能,能找出檔案的mactime及以MD5或SHA-1來檢測該檔案是否為原始檔案,可說是一套非常完整的鑑識軟體。
(二)AutopsyForensicBrowser
AutopsyForensicBrowser(AFB)[8]將TheSleuthKit指令圖形化,以網頁的方式呈現,方便使用者使用。
AFB提供四種主要的功能:
檔案與目錄的瀏覽、磁區瀏覽、Inode瀏覽、磁區的搜尋。
四、Live-analysis
數位鑑識分析分為Live-analysis及Dead-analysis兩大類[8],主要以是能否在電腦系統開機的狀態下進入系統,進行數位鑑識。
目前多數的研究多以Dead-analysis為主[16],但此種方式在關機或拔除硬碟的過程,可能造成揮發性資料流失,而無法保有完整的證據,亦可能流失與案情有重大關係的資訊。
對於鑑識分析而言,蒐集揮發性資訊是非常重要的工作項目,鑑識人員建立的案例日誌簿通常包含的系統資訊為[15]:
目前系統時間、作業系統類型與版本、系統安裝日期、使用者登錄系統的歷史資料、目前網路連線狀態、開啟的UDP及TCP等等,由於收集目標電腦的證據可能會影響其他的證據,發展出一套最佳的方法,以取得最多的證據[7],其分為三個做法:
執行已知的二進位檔案(Runningknowngoodbinaries):
調查人員應不信任系統上的執行檔,但應提供所有用來取得證據的執行檔,如果可以的話,執行檔應該靜態編譯,否則,他們執行時必須載入需要的函式庫,且最好存於唯讀的儲存裝置(例如:
CD-ROM)。
雜湊所有的證據(Hashingallevidence):
一旦獲得證據,調查員必須證明該證據一切都沒有改變。
公認的方法是計算該資料的安全加密雜湊值(通常透過MD5或SHA-1)[7]。
依揮發性次序取得資料(Gatheringdatainorderofvolatility):
有些資料比起其他的資料可保留的時間短,證據的採集應依其揮發的次序決定,例如:
開啟的網路連結變動比系統平均負載或是登入系統的使用者,其變化更加頻繁。
五、LiveDVD/USB
由於數位鑑識採證的基本原則是在受損系統原狀態最小的更動下得最多證據,因此本系統利用LiveDVD/USB不須安裝於硬碟及使用便利的特性下,進行整個數位鑑識流程。
LiveCD的技術是即將整個作業系統壓縮在一張可開機的CD/DVD或是USB中,電腦可不需安裝,即可自動啟動作業系統,完全不會影響到原有安裝的作業系統,適合用於教學、展示和作業系統的初學者學習與使用,目前已有許多LiveCD釋出,較有名的如KNOPPIX[12]或是某些Linux發行廠商提供屬於自己的製作工具(例如:
FedoraLiveCD)、Tux2live等等。
本系統以DebianLive製作LiveCD,其與FedoraLiveCD相同皆是官方支援開發的工具。
參﹒系統架構
本研究受害主機區分為兩類,一為系統尚在運作的電腦,另一種則為已關機或無法正常開機的電腦。
本系統自行撰寫script程式,並裝載至USB內,若系統尚在運行,則執行該script程式進行Live-analysis,蒐集目前系統的記錄並自動將產生的檔案存入USB中,待稍後進行分析,使用Tkinter及Xdialog將結果圖形化呈現。
若電腦已是關機狀態,我們使用LiveDVD/USB開機進行Dead-analysis製作映像檔及資料還原,其內容包含映像檔製作程式AIR(AutomatedImageandRestore)、電腦鑑識程式TSK、圖形化介面Autopsy等,以瀏覽器方式進行相關程式運作,系統鑑識流程如圖1。
圖1系統流程圖
肆﹒系統實作
一、Live-analysis系統開發
當到達犯罪現場時,電腦系統尚在運作,則我們必須迅速的收集系統的揮發性資訊,例如:
目前所開啟的TCP及UDP埠號、目前登入系統的使用者、目前開啟哪些服務等等訊息,這些揮發性資訊都可能在關閉電腦後消失。
故此時必須藉由Live-analysis鑑識技術來收集、分析這些揮發性的資料。
本系統使用自行開發script程式收集揮發性的資訊,並將其結果圖形化呈現,方便鑑識人員分析,降低使用的障礙,茲以下列各項目進行說明。
主要操作步驟如下:
(一)我們將自行撰寫的script程式存於USB中,於終端機執行script,所有收集的資訊會存於USB中,如此可避免寫入或載入程式至受害電腦,而破壞其原本的狀態。
另外本系統以Tkinter及Xdialog來呈現資料,選單呈現如圖2。
圖2Live-analysis選單
(二)顯示目前系統狀態,如圖3,其包含的資訊如:
核心版本、CPU資訊、主機名稱、目前系統日期時間、主機所有掛載的分割區。
圖3系統基本資訊
(三)顯示目前系統開啟的UDP及TCP埠號,如圖4,其包含協定名稱、本地與遠端位置、埠號狀態等,由此資訊可分析是否有開啟可能被攻擊的埠號。
圖4目前開啟的UTP及TCP埠號
(四)顯示系統的例行性程序,如圖5,由此資訊可分析是否被駭客寫入可疑的執行程序。
圖5系統例行性程序
(五)顯示系統目前所執行的程序,如圖6,其包含執行程序的User名稱、CPU的使用率、程序執行的時間、程序的名稱等等,由此資訊可檢測是否正在執行不知名的程序,以判斷是否被植入Rootkit或Malware。
圖6目前系統所執行的程序
(六)計算每個檔案之MD5及SHA-1值,如圖7,以確保證據的來源及完整性。
圖7檔案之MD5及SHA-1值
二、Dead-analysis系統開發
當系統遭破壞而無法開機時,我們採取Live-DVD/USB的方式進行數位鑑識,由於完全是在Live-DVD/USB上運作,故不會破壞目前電腦的狀態。
本研究使用DebianLive製作Live-DVD/USB,其內容包含開放原始碼AIR(AutomatedImageandRestore)製作映像檔軟體、本系統自行中文化的TASK數位鑑識軟體、圖形化介面Autopsy等。
Dead-analysis的操作首先我們以AIR複製磁碟映像檔,如圖8,接下來加入映像檔至TSK及Autopsy中,如圖8,再以網頁的方式進行映像檔的分析,如圖10,最後以網頁的方式呈現結果,如圖11。
(一)AIR(AutomatedImageandRestore)是一以Perl撰寫的映像檔製作軟體,在產生映像檔的同時它會計算其雜湊值並進行驗證。
圖8AIR製作映像檔
(二)文字方塊必須輸入映像檔所存放的完整路徑,如/usr/forensic.img,接下來選擇映像檔是類型(磁碟或磁區),最後再選擇匯入的方式,即成功匯入映像檔。
圖9匯入映像檔
(三)映像檔分析可依照需求進行相關的分析鑑識工作,一般我們常用的功能包含檔案分析、檔案格式分析、單一磁區分析及MetaData分析,下圖為檔案分析之範例,其可顯示已被刪除之檔案名稱、建檔時間、檔案大小等資訊,亦可將已被刪除還原。
圖10檔案分析
(四)進行分析完後會產生一個報告,其內容包含一般資訊(檔案來源、MD5及SHA-1雜湊值、映像檔來源資訊)、MetaData資訊、資料類型。
圖11鑑識報告
伍﹒結論
近年來電腦犯罪案件層出不窮,個資外洩、駭客入侵等等名詞已不再是新聞。
因此,除了使用者的日常防範外,鑑識人員如何在事件發生後,從受害電腦上蒐集任何蛛絲馬跡,成為當前必須面臨的重要課題。
目前使用的商業版數位鑑識軟體成本過高,另外其多為英文版,對於國人的使用上亦是一大障礙。
本系統以開放原始碼之鑑識軟體及LiveDVD/USB進行數位鑑識流程,使用開放原始碼軟體,不但不會有版權問題亦能降低成本,另外我們將TASK鑑識軟體中文化,降低國人使用上的門檻。
除此映像檔之鑑識分析外,我們對尚在運作的電腦亦進行Live-analysis鑑識,以預防在關閉電源後重要資訊的消失,而無法真實呈現結果。
陸﹒參考文獻
[1]NII產業發展協進會,從數字看資安,iSecurity,http:
//www.i-security.tw/learn/sub_200812_2.asp
[2]王旭正、張躍瀚、黃嘉宏、高大宇,電腦鑑識環境建置的規劃/訓練時代需求,國家實驗研究院科技政策研究與資訊中心資通安全分析專論,T95017,http:
//ics.stpi.org.tw/Treatise/,2006.
[3]王旭正、柯永瀚、ICCL-資訊密碼暨建構實驗室,電腦鑑識與數位證據:
資安技術、科技犯罪的預防、鑑定與現場重建,博碩文化出版公司,6月,2007.
[4]王旭正、高大宇、ICCL-資訊密碼暨建構實驗室,資訊安全:
網際網路安全與數位鑑識科學,博碩文化出版公司,1月,2007.
[5]李茂炎,王朝煌,”檔案系統數位證據擷取技術之研究”,第五屆資訊管理學術暨警政資訊實務研討會論文集,247頁-255頁,2001.
[6]邱獻民、林宜隆,數位證據在法庭上之攻防對策,2007年第十一屆資訊管理學術暨警政資訊實務研討會-社區安全E化與犯罪防制論文集,2007.
[7]F.Adelstein,“Liveforensics:
diagnosingyoursystemwithoutkillingitfirst,”CommunicationsoftheACM,v.49n.2,February2006.
[8]B.Carrier,AutopsyForensicBrowser,
http:
//www.sleuthkit.org/autopsy/index.php
[9]B.Carrier,OpenSourceDigitalForensicsTools:
TheLegalArgument,@stakeResearchReport,October2002.
[10]B.Carrier,TheSleuthKit,http:
//www.sleuthkit.org/sleuthkit/
[11]E.Casey,“DigitalEvidenceandComputerCrime:
ForensicScience,ComputerandtheInter,”AcademicPress,pp.41-46,2000.
[12]Knopper.Net,KNOPPIX,http:
//www.knoppix.org/
[13]C.Marko,IntroductiontoTheSleuthKit(TSK),Addison-Wesley,2005.
[14]B.NelsonA.Phillips,F.Enfinger,andC.Steuart,GuidetoComputerForensicsandInvestigations,2008.
[15]C.Pogue,C.AltheideandT.Haverkos,UNIXandLinuxForensicAnalysisDVDToolkit,SyngressPublishing,2008.
[16]C.H.YangandW.L.Hsu,CombinationofCryptographicHashandOn-LineTime-StampingSystemforSecuringDigitalEvidenceofFileSystems,2005InternationalForensicScienceSymposium,November2005.
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Liveanalysis 数位 鉴识 系统 平台 设计 实现