作者按
电子取证
工具或有其局限性,加上智慧型犯罪手法通常也有毁灭证据的成份在其中,取证人员在面对种种困难之时,仍须不畏艰难挑战,不排除任何的可能性,掌握稍纵即逝的取证契机,唯有如此,才能顺利地将所有参与犯行的不法之徒一网打尽。
东窗事发
军方
高层怀疑任职于某情报单位的S中校,已被对岸吸收且为其搜集重要情资以获取高额报酬。对S中校开始起疑是肇因于近年来该单位的部分计画似已被对岸掌握,且巧合的是这些计画S中校皆有参与其中,加上S中校妻子名下的帐户陆续有大量金额汇入,令调查人员觉得十分可疑,因此将S中校列为重大怀疑对象之一。根据目前调查出的事证显示,S中校涉嫌洩露军机情节重大,因此决定收网以将相关涉案者一网打尽。
干员们在登门之际,S中校并未立刻开门,约莫数分钟之后才开门让干员入内,只见S中校从容不迫,似已做好准备接下来会发生的事。干员们随即表明来意并将其逮捕,连同处于开机状态的笔电,手机等相关证物一併扣下带回调查。
专案小组根据当时的现场状况,研判S中校当时可能正在书房里进行灭证。鉴识团队便火速针对S中校所使用的笔电进行鉴识分析,令人感到讶异的是,笔电中除了一般的个人文件如读书心得、日常开销记录之外,初步未发现所谓的机密情资。而在讯问过程中,S中校一派从容,矢口否认为对岸搜集情资,始终坚称自己是清白的,专案小组不敢大意,认为S中校是个心思缜密的智慧型罪犯,要格外小心应付才行。
找到一个执行档但所有档案已被删除
当R一听到在S中校的笔电未发现任何重要军机时,便研判笔电里应该还留存著灭证的相关痕迹才是,便赶忙过来支援。果不其然,R在程式执行痕跡之中有了发现,这里头所记录的资讯包含了运行过的执行档名称及其路径,以及执行的频繁程度等重要线索,据此便可查看当中是否有与案情相关的可疑执行档,一个名为rm.exe的执行档引起了R的注意,如图1所示。
▲图1 笔电内找到一个名为rm.exe的执行档。
经检视此档案的内容属性,其描述为「Secure file delete」,如图2所示。R已猜到它本来的档案名称了,看来S中校的确在笔电裡动了些手脚。
▲圖2 rm.exe執行檔內容的描述为Secure file delete。
将该档案汇出并于工作站上进行模拟测试,在DOS模式下执行得知其确为SDelete,如图3所示,此即一款可以彻底删除档案的工具。
▲图3 该档案在DOS模式下执行得知其为SDelete。
R研判rm.exe即为S中校用以灭证的工具,即便笔电中确有发现可疑档案的存取痕跡,也因档案内容遭到抹除(Wipe),导致原有内容已被0值填充覆盖,如图4所示,便无法判断该档案是否与军机有所关联。
▲图4 原有内容已被0值填充覆盖
机密档案可能已上传至百度网盘
R料定S中校在删除机密档案之前,必然早已经做好相关处理,才会放胆将其全数彻底删除,不然的话,费尽千辛万苦到手的军机不就白白浪费。为了有效获得更多线索,R便将证物映像档进行活化(Bootup),以动态分析的方式来观察S中校的笔电中还隐藏著什麼秘密。顺利登入桌面后,一个画面引起了R的注意,如图5所示。
▲图5 顺利登入桌面后,出现百度网盘画面
这不就是百度网盘吗?R研判S中校应是利用它以将机密文件上传至云端,完成之后才将储存在笔电硬碟中的机密文件彻底删除,以为如此一来便神不知鬼不觉了。
在这种情况之下,鉴识人员仍不该轻言放弃,R持续在证物映像档中仔细查找相关痕迹,竟然发现百度网盘在本机上储存了一个名为BaiduNetdisk的资料夹,如图6所示,R心想在这资料夹里的档案也许会有些线索才是。
▲图6 百度网盘在本机上存放一个「BaiduNetdisk」资料夹
接著,便在此资料夹内找到一个与sina邮件帐号有关的资料夹名称,如图7中框选部分所示。由于百度网盘是可以邮件帐号做为登入帐号没错,R研判此sina邮件帐号应为重要线索之一,若R研判无误,它即是S中校个人所使用的邮件帐号,且亦是用以登入百度网盘的帐号。
▲图7 找到一个与sina邮件帐号有关的资料夹名称
除此之外,R也在一个资料库档案中找到S中校将档案上传至百度网盘的快取记录,包含档案名称及所存放的路径,如图8所示。
图8 找到将档案上传至百度网盘的快取记录
可惜,光凭档案名称并无法确切得知究竟哪些属于机密文件,必须要查看档案内容才能得知。专案小组要求S中校交出密码,但S中校十分狡猾,佯称很久未使用百度网盘,早把帐号密码忘的一乾二净。S中校似乎信心满满在这场斗智过程中笃定获得胜利。
尽管如此,专案小组不放弃任何希望,S中校的手机亦是调查的另一个重点,从中应可找出联络窗口等相关人等及聊天内容,有助于釐清案情真相。但意想不到的是,鉴识团队在对S中校的手机取证时竟也遇到了瓶颈。
手机机型过于新颖,鉴识工具派不上用场
鉴识团队以各种昂贵的商业鉴识工具尝试取证,皆无法顺利突破,但这些手机鉴识工具已是当今世界第一流的產品,却仍然徒劳无功。高层对此十分震怒,无法理解花费了数百万元的工具在关键时刻竟派不上用场。当然,专案小组之中不乏知道内情的人,只是怕说出了实情,长官们还是无法理解及接受。
这所谓的实情就是,再知名再昂贵的工具,也不保证能对所有厂牌所有机型皆能百分之百取证成功,且会随著作业系统版本的提升,面临了更大的困难及挑战。R特别为S中校这支手机(图9)在取证上所面临的难题提出说明:
▲图9 S中校所使用的手机
1. 机型颇为新颖,而其出厂所预载的作业系统也是前不久刚发表的最新版本。
2. 手机是处于未解锁的情况,设有指纹锁及图形锁。
3. 手机未开启USB侦错模式
因此,要想有所突破并不乐观。说穿了,就是新出厂的手机,与现有鉴识工具之间会存在一个取证上的Gap,工具的开发商恐要再花上一段时间,才能将新出厂的手机纳入支援清单之中。至于何时能支援的上,恐还是未定之数,因此在尚未支援上的空窗期之时,是完全无计可施的。眼看时间一分一秒地过去,各种压力让专案小组成员愈发喘不过气来。
R根据过往经验,认为嫌疑犯的至亲好友,对于嫌疑犯手机所使用的图形锁或密码可能略知一二。因此便决定带著S中校的手机到其家中拜访,希望其妻儿能够帮上忙,但不确定是真的不知情还是有所隐瞒,这一趟可说是毫无所获。
R又转而前往S中校的老家,他的父母表示S中校约每3个月会回家一趟,但两老对S中校所设定的图形锁一无所知,倒是有印象儿子好像是用指纹解锁的。此时R瞥见一个小朋友正在庭院裡玩,在得知这个小朋友是S中校的姪子之后,R走到了小朋友身旁,问他是否知道二伯的手机图形锁怎麼解开,小朋友摇摇头表示不知。
但正当R要离去之时,小朋友又说了一句话:「我知道怎麼做可以解开二伯的手机」。R心头一震,看著小朋友天真无邪的脸庞,认为他不像是在开玩笑,便请小朋友示范一下如何解锁。
找到手机语音辨识解锁
小朋友一边接过手机一边开心地说著:「其实是二伯常这麼做的,上回二伯来的时候有陪我玩手游,我就是学他也跟手机说话,没想到就真的把二伯的手机给解锁了,二伯也吓了一大跳。」小朋友接著又补充了一句:「当然没有每次都成功啦!」
R心想,果然没猜错,S中校有设定Google语音辨识解锁,如图10所示。
