编者按
温泉会馆、军用枪支、软件公司……,他们之间会有什么样的联系?
传统犯罪结合了电脑犯罪,成为复合型的犯罪型态,也使得执法部门所面临的挑战更加严峻。取证人员不仅要大胆假设小心求证之外,更要有足够的经验及判断,才不会错失重要关键破案线索。
温泉会馆传来枪声
警方接获线报,在一处僻静山区的温泉会馆,传出疑似枪支击发的声响。警方抵达现场后,根据会馆大厅和停车场的监视器录影带,循线查到名叫阿伟和阿强的男子有重大嫌疑,并在阿强的身上搜出一把制式90手枪。
即刻展开调查
经讯问后案情轮廓渐渐浮现,阿伟坦承是他将这把制式90手枪(图1)售予阿强,刻意选在僻静的温泉会馆中交易,但因阿强在清枪时误扣扳机,因而东窗事发。
▲图1 找到一把制式90手枪
至于这把枪
支
的来源,阿伟辩称是在山中的废弃工厂中拾得,警方对此说法持高度怀疑,所幸在阿伟家中的电脑桌面发现了疑似枪
支
交易的客户名单以及案件信息(图2),最后,顺利突破阿伟心防,供出幕后主使者为名叫阿良的男子。
▲图2 找到疑似枪
支
交易的客户名单和案件信息
警方在阿良家中的地下室起获大批改造手枪、制式手枪、长枪,子弹以及改枪工具,简直可说是一间地下兵工厂,主要犯罪嫌疑人阿良对于拥有这些枪
支
供认不讳,并表示阿伟是他手底下的业务员。
阿良供称改枪的相关技能是结合军中专长加上个人的兴趣钻研所习得,而售予阿强一把制式90手枪是他的第一笔生意,专案小组认为阿良仍有所保留,有待进一步厘清。电子取证小组在阿良家中进行现场勘查,并将所扣得的笔记本电脑等证物带回实验室进行取证分析,以查明案情。
发现可疑的执行程序
取证人员以取证工具对相关证物进行取证分析,在阿良的笔记本电脑中发现大量与枪
支
改造及枪
支
贩售相关的网页浏览记录,如图3所示。
▲图3 发现大量与枪
支
改造及枪枝贩售相关的网页浏览记录
值得留意的是,在“我的文件”中发现了一个文件,内容清楚地记载了案件编号、时间、单位名称、承办人、购买产品、数量以及相关案况描述等等,如图4所示。
▲图4 发现一个重要的文件
之所以引起取证人员的关注,主要是因为这份内容所具有的格式,
不像是人工手动编辑所制作
,倒像是由系统所产生的报表。因此,取证人员进一步查看阿良笔记本电脑中的程序执行痕迹,以了解是否有可疑程序与案情有关。赫然发现一个名为”PILOT.EXE-906AA733.pf“的可疑prefetch,它所指向的可执行程序pilot.exe位于“c:\pilot\”路径之下,如图5所示。
▲图5 发现一个名为PILOT.EXE-906AA733.pf的可疑prefetch
出现奇怪的错误信息
要查明这个程序是否与那些报表有所关连,就有必要进行动态分析加以验证。但在点击pilot.exe时却发现无法执行,报错信息提示“Dongle not found”。
说到此处,有经验的取证人员应该会比较熟悉了,这是程序运行缺少“加密狗”。
R灵机一动,想起当时在阿伟家中除了扣押笔记本电脑外,还有几个外接式USB储存设备,立即领出以进行验证。
关键内容浮现
取证人员R在逐一将阿良的优盘通过
只读设备
接入后,果然发现其中一支Lexar的USB盘(图6)可令系统顺利执行。
▲图6 可让系统顺利执行的优盘
当将这支USB随身碟插入后,执行pilot.exe时不会出现任何错误讯息,执行画面如图7所示,映入眼廉的赫然是“
军武销售管理系统
”。
编者注:写到此处,小编着实惊出一身冷汗……
▲图7 执行成功后所显示的画面
取证小组由此系统中查得大批枪枝交易记录,根据销售日期可得知阿良已经经营枪弹贩售数年之久,警方立即针对枪枝流向展开追查(图8)。
▲图8 根据销售日期得知阿良已贩售枪械多年
另一方面,警方认为如此的一个企业化经营手法和规模,应非阿良一人能独力为之,合理怀疑应还有同伙共同犯案。根据在系统中所查得的业务代号和中英文姓名(图9),比对自阿良手机中提取出的聊天记录内容。警方顺利掌握这些业务员的身分并约谈到案,相关涉案人员均供认不讳。
▲图9 查得业务代号和中英文姓名
案件侦查至此,专案小组成员都认为告一段落,不但破获军火贩售集团,并且循线追查枪枝流向,查出先前数个案件与此案的相关人员及枪枝有所关连,可谓是连破数案,成果丰硕。
然而……
但取证人员R深仔细检查证物及取证分析的相关发现,觉得此案尚有未尽之处,当面对此一企业化经营的犯罪组识,看到他们所使用的电脑设备及ERP系统,背后所代表的含义便是:
专业
。
但问题来了,这套军武销售管理系统是打哪来的呢?
案中有案 继续追查
从客观角度分析,在阿良的笔记本电脑中发现这套系统的存在,并有频繁的执行痕迹,但市面上却未曾听过见过,且也不可能真有这么一套系统在贩售。
阿良本身精通改枪,但并不具备软件研发能力,不可能是阿良个人研发而成。因此,有必要追查的是,这套系统是哪来的?是何人或何团队所开发?与阿良为首的犯罪集团又有何关连?
重大发现让案情明朗
取证人员R持续检查名为“pilot”的ERP系统,在其子系统库存管理系统之中,发现了“版本版权”(图10),其中出现了疑似程序开发人员的大头照,虽然经过卡通处理,但仍可清楚辨识其五官,而右方的宣告信息更是留下一个名字,研判即是该名程序设计人员在版权宣告之中加注其姓名所致。
▲图10 发现“版本版权”说明
警方在出示上述物证后顺利突破阿良心理防线,阿良供称这套系统是委托一位程序设计师Brian所开发的,他并不认识Brian,是通过一位军中老乡牵线促成合作。警方循线找到Brian,发现他是任职于某知名软件信息公司的开发人员,但Brian矢口否认他与此案有任何关连。
警方在Brian住处扣得笔记本电脑及相关物证进行取证分析,以厘清Brian涉案程度。取证小组在经过一番取证分析之后,初步发现有大量程序代码及SA文件储存在Brian的电脑中,但未发现与阿良军武贩售管理系统有明显相关之处,案情一度陷入胶着。
掌握关键线索
取证人员R清楚该Lexar的随身优盘即是关键所在,透过这支优盘必然可以查出与系统开发者的关连性。由于该Lexar USB随身碟即是该军武销售管理系统的认证设备,若Brian确为该系统的开发人员,那在Brian电脑之中势必存在该支Lexar 优盘的插拔记录才是。
取证人员R检查自Brian笔记本电脑中提取的USB使用痕迹,果然找到一笔与该支Lexar优盘的pid(Product ID)、vid(Vendor ID)、Serial Number相符的记录,如图11所示。
