专栏名称: 信息时代的犯罪侦查

一切行为皆有犯罪的可能性，而在信息时代，这一过程变得更加复杂或者隐晦了。本号致力于传播打击和预防犯罪的手段、方法、理念，并希望能够推动侦查犯罪的机制变革，而这需要了解方方面面的信息。

运用“已知明文攻击”找到真凶

信息时代的犯罪侦查 · 公众号 · · 2019-08-26 12:26

正文

随笔

知识

案例

声音

其他

编者按

凡走过必留下痕迹。被抺除痕迹的犯罪现场，伪装的再完美也总会留下蛛丝马迹，而成为破案的突破口。本文从一宗悬疑案件开始，从取证的角度找出疑惑之处，运用“ 已知明文攻击 ”解密唯一留存的重要、关键压缩文件，让胶着的案情得以真相大白。

根据洛卡德交换定律（Locard exchange principle, Locard's theory），犯罪现场调查时，无论是出于刻意或不经意的情况之下，犯嫌必会带走一些“东西”，同时亦会留下一些“东西”。现场存在的蛛丝马迹与案情的关联性不容忽视，有待调查人员在细微之中详加觉察。

前情提要

多年老友相聚，聊及发生于异国他乡的一宗案件，彷彿将大家带入了时光隧道……

数年前的一个雨夜，几名游客驶经一处僻静的山林野地时，发现路边有一辆车子，但未开大灯。下车以手电筒查看时，竟发现驾驶座上有一名男子倒卧在血泊中，遂赶紧向警方报案。警方在抵达现场之后，发现该名男子头部中弹已无生命迹象，车内有一把手枪，而男子上衣口袋中的工作证件显示，其身分为军方某单位的Y少校。

初步研判案情并不单纯

军方接获通报之后，立即派员前往事发现场配合检察、警察部门进行调查，同一时间，取证小组在现场进行痕迹物证的采集。

隔天专案小组便立刻开会讨论相关案情，Y少校的致命伤是右边太阳穴遭子弹贯穿，从Y少校右手臂的硝烟反应以及枪上的指纹研判，Y少校可能是举枪自杀。车内除了Y少校的DNA及指纹外，未采集到其他可以识别的DNA或指纹，但此时踏垫上的鞋印引起了现场取证人员的注意，虽然并不完整也不够清晰，但可以看出除了Y少校自己的之外，在副驾驶座及后座，亦皆有鞋印的痕迹，研判至少有一人以上。这应是当日下雨的缘故，导致鞋底因水份潮湿而在车内踏垫上留下了明显的脏污印记。

另一方面，法医仔细察看Y少校的遗体，发现其身上有几处伤痕，此与现场取证人员发现车内疑似有打斗痕迹相吻合，此一发现也令Y少校是自杀的说法不攻自破。

取证小组根据Y少校身上的伤痕位置，研判其在生前与位于副驾及后座的歹徒发生打斗，在遭到勒昏失去意识之后，被歹徒操纵其右手持枪朝太阳穴击发，企图制造Y少校自杀的假象以掩人耳目。

此时案情有了新的发展，转而朝向他杀方向侦办。专案小组成员都认为歹徒做案手法专业且干净利落，由于案发地点附近并无监视器，也没有目击证人可提供歹徒的容貌、身形或声音等外在特征。

目前只能一方面扩大范围区域调阅监视器录影带，清查可疑行经车辆，一方面从Y少校的任职单位及住处、亲朋好友等方面下手进行调查。

此时，现场痕迹的采集结果已出炉，现场取证人员发现Y少校的手机及车上行车记录器中的记忆卡不翼而飞，而Y少校笔记本电脑包中除了变压器和鼠标之外，也没有了电脑的踪影。更让人疑惑的是，车内所发现的手枪并非军警的制式装备，该款手枪倒是颇受欧美等国的军方所青睐。

总的来说，案发现场由于下雨的缘故，影响了行经车辆胎痕的采证工作，此外，包括手机等莫名消失的重要物证，再加上一把来源不明的枪支，使得案情更加扑朔迷离。

找到关键压缩文件但无法解密

这时，专案小组内部会议上传出一个令人振奋的好消息，电子取证小组自Y少校家中的电脑内找到了一个疑似与案情有关的压缩文件。这个名为Project-N.zip的压缩文件，由于设有密码保护而无法直接开启，如图1所示。

图1 “Project-N.zip”压缩文件由于设有密码保护无法直接开启

据Y少校的家人表示，不曾听Y少校提起过任何有关军中业务的事情。取证小组请Y少校的家人提供几组可能的密码组合，但可惜皆无法顺利解压缩该加密档案。

专案小组由案发现场的状况研判，应是歹徒进入了Y少校车内，然后驶往此僻静的山野林地，在谈判过程之中发生冲突而引发杀机，当然也不排除歹徒一开始即有杀人灭口的打算。因为歹徒除了致人于死外，在离去前还把车内可能含有重要线索的存储介质全部带走，毁灭证据的意图十分明确。目前唯一的线索只能寄希望于Y少校电脑中的那个加密文件了，取证小组在没有任何线索的情况之下，只能先暴力破解。

几天过去了，暴力破解的结果失败而无法破密，这令专案小组成员感到失望不已。此时有一个友好单位提供协助，送来了彩虹表（Rainbow Table），专案小组立刻展开彩虹表破密工作，又经过了几天之久，仍是得到了破密失败的结果（图2）。

图2 透过彩虹表进行破密

这结果其实不令人意外，彩虹表（图3）就是一个庞大的杂凑值集合，它是针对各种可能的字母组合预先计算好杂凑值所形成的集合，用了彩虹表就必然能破密吗？答案恐怕不然，只能说若是规律字母加数字的组合没问题，但若是密码长度很长且非为规律的组合，例如加入特殊字元等情况，就不见得光靠彩虹表可破了。

图3 彩虹表（Rainbow Table）

那还可以从哪里着手呢？在Y少校家里的电脑中，除了一些游戏以及与家人出游的照片外，还有一些签呈、格式规范的扫描电子文件，初步排除与案情有所关联，唯独剩下这个可疑的加密文件。

至于Y少校在军中公务用的电脑，则是离奇地被彻底清除（Wipe）了。

当专案小组前往Y少校任职单位清查物证时，竟发现硬盘里头的资料已全被无意义的值给填充覆盖掉了。

由于案情持续胶着，关于Y上校的死因，各界众说纷纭，有军方内部知情人士通过管道向专案小组透露，由于Y少校不久前疑似与主力战车的军购舞弊案有关，涉嫌收受大笔贿款为特定厂商护航，因怕东窗事发而欲揭露证据以自保时，遭到歹徒灭口。

Y少校家属悲痛欲绝，认定Y少校的死与军方脱不了干係，而军方仅表示，坚信Y少校是清白的，亦相信案情总有一天会水落石出。但案发迄今已一个多月，与军购案有关的军火掮客行踪成谜，专案小组成员忙得焦头烂额，但案情却毫无进展，犹如掉入了十里迷雾之中。

的确，军购案所牵涉到的利益十分庞大，各方势力都想要分一杯羹，再加上错综复杂的政经关系，此时难以论断Y少校究竟是遭到何人所害，R心里很清楚，若要说还有那么一丝希望的话，关键就在这个名为Project-N.zip的加密档案之中了。 R仔细比对目前所得到的相关线索，得知Y少校在此次主力战车的军购案中扮演著举足轻重的角色，他不但亲赴各国实地评估，还肩负着最终评估结果的报告撰写，以供上级进行下一代主力战车采购的决策依据。虽说此次参与竞标的皆为当今世界上第一流的坦克制造商，但因各家的设计理念及哲学不同，在火力、防护力、机动力三大要素的优先顺序上各有其偏好。

由Y少校家中电脑的一些坦克图片，及相关型录、参数等文件来看，足见Y少校在这次军购案的评估测试报告下足了工夫，令R也不禁好奇最终的评估结果究竟为何。就在此同时，R的脑海中灵光乍现，还有个法子值得一试。

善用已知明文攻击来破 密

R研判这Project-N.zip应是Y少校从军中的电脑中复制出来，而拷贝至个人拥有的笔记本电脑或者台式机中进行处理。假如如此，尽管笔记本电脑已被歹徒带走，但其家中电脑里的文件，可合理推论部分可能是来自于那个加密压缩文件Project-N.zip之中。专案小组成员听得一头雾水，连忙问这与破密有何关系呢？ R便笑着道： “Known Plain-text Attack”。

运用“已知明文攻击”找到真凶

正文

请到「今天看啥」查看全文