Digital Forensics的定义为:
“branch of forensic science encompassing the recovery and investigation of material found in digital devices”
主要的过程在于”利用特别的软件和技术”经过”科学的方法去处理于资料储存设备相关搜証工作,当公司或企业遇到资讯相关事故时,如何还原事件发生的真相,即为鑑証的范围,当您需回应法律事务或调查时,一般都需要执行这个程序。
在现今资讯高度电脑化的时代,科技与法律常常是每家公司管理人员需要面对的重要议题,公司在面对资讯相关的法律问题时,往往因为未能充份理解证据的重要性,而遭受损失。超过90%的电脑资料是以格式分散储存在各个伺服器中,而所有的资讯盗窃、侵权案例,超过70%的案例会留下数码痕迹 (Foot print)。如何以科学的方法,在具有证据的前题下把所有的资讯证据正确搜集及分析,转化为可理解的结果,则为电脑搜証服务的主要工作。
电脑搜証需要根据现有系统中所留下的资讯来进行研究分析,把与事件有关联的资讯证据抽出, 电脑搜証工作者往往需要花费大量的时间将资料整理及分析。
搜証可分为下列步骤:
1. 备份 ( Backup ) 立即把系统备份为影像档, 以免证据被破坏
2. 判断 (Identify) 数码证据存在地方
3. 搜证(Collect) 在不破坏证据的情况下进行搜证
4. 保存 (Preserve) 搜集到的原始证据必需符合严谨的程序
5. 分析 (Analysis)开始进行一连串的研究分析
6. 鑑证报告(Report ) 把分析得出的结果以容易理解的格式报告。
在公司发生紧急事件时,需要考虑许多层面,大多情况下没有注重数码证据鑑证的方法及程序,导致许多重要的关键证物在不当的操作下遭受破坏,资料永远遗失,而大部份公司欠缺危机意识 ,未有为公司作出事件发生前作需要的防备。
数码证据的范畴:
数码证据可能存在的领域范畴非常的广泛,只要是存在的电子储存设备均属于数码证据搜集的目。<
数码证据映像档:
为了保护数码证据的原始证物资料免遭受到破坏,在进行鑑証前首先会为原始证物生成映像档,此映像档的数码内容会与原始证物的数码内容一模一样,我们会利用 Bit-Stream (MD5 或 SHA1_ 的複製方式将证物磁碟的第一个位元保留複製到磁碟的最后一个位元资料, 而往后的鑑証过程只会利用此映像档来进行。
档案回復:
当档案被删除后,一般系统不会实际删除储存于储存体的档案, 因此资料的修復可以分为两种方式进行。
第一种方式主要从档案系统的索引的找寻资料作出回復,若档案索引的资料未被复写一般情况下可以顺利的把档案回復。
第二种方式若档案索引已被复写则必需到磁碟标示为未使用的实体贮存位置 (Unallocate Area) 进行资料抢救,此方法会根据档案的分散程度来判断回復的难度 ,只要资料还存在于储存媒体就有机会救回。
数码证据搜寻:
数码证据的搜寻是所有分析中非常重要的一环,我们通常会以下两种方式进行:
1. Linear Search 的方式, 利用关键字转成适当的编码方式来搜寻整个磁碟资料以作比对, 此方式有效找出所有贮存在硬碟 Unallocated 区或 file slack 未使用区段,但每次搜寻相当长的时间必需要考虑各种表达方式才能精准找到重要的资讯或避免找到太多无关连的资讯
2. 在硬碟内以片语或句子的方法来为每个关键字建立索引资料,建立完成索引之后可加快搜寻速度, 缺点是利用片语或句子组合来判断及资料在 Unallocated 区或 File slack 区域的索引的准确性。
- 资料损失
重要的客户资料/财务资料/产品设计档案给员工複製及外洩
竞争抄袭或盗用你开发的软体原始程式码
重要资料被删除或硬碟毁损,需要资料修復
重要文件密码遗失,需要专业协助破解
即将离职员工抄走公司重要资料
- 电子邮件问题
利用电子邮件发佈不实资讯
利用电子邮件洩露商业秘密
利用电子邮件大量发送垃圾或病毒信件,追查发送人的资讯
电子邮件系统遭入侵及相关诈骗事件调查
- 诉讼案件的权益损失
举证时忽略可能的重要电子证据或因程序不符而影响案件胜诉机会
缺乏举证的有效性能力而错失胜诉机会
- 员工不当网路使用行为
在公司传递情色档案或浏览色情网站
利用网路进行骚扰
不当使用网路行为举证
- 公司疑遭骇客入侵
确认是否已遭感染并追踪骇客源头
找出入侵手法可有效立即防制,避免再遭受害
控制可能的损失
确认感染的范围
想避免电脑犯罪问题对您的公司导致不必要的损失吗 ?我们提供专业的顾问服务及必要的防护措施建议