數星期前,我們曾提及「時間」對於電子證物合法性的相關資訊,今次為大家揭開現今罪犯最常用,卻又並非高深技術的隱藏檔案方法。
首先要了解「隱藏」二字在本文之中的真實意義,大家可以先想想不法份子所謂的「隱藏」,其最主要目的為何?其一:收藏犯法證據;其二破壞電子證物合法性。
**註:本文僅以理論角度推斷罪犯隱藏檔案時所考慮的種種因素,並針對隱藏性以及一旦被進行取證時,檔案合併過程所導致的檔案時間破壞作考慮,不代表是罪犯實際行為。
如何隱藏檔案?
可能你認為通過不同的軟件隱藏檔案,便可符合到罪犯的要求;的確一般的罪犯可能仍停留於採用第三方軟件進行檔案隱藏工作;但一般情況下,通過軟件進行檔案隱藏往往只是視覺上的特效;簡單來說,大部份隱藏檔案的軟件只是「誠實地」將檔案的圖示隱藏,實際上檔案仍然存在,只需通過法證工具便可輕鬆將這些隱藏的檔案取出,因此這方法國際犯罪集團根本不會使用。
編輯字元組方法
假如要符合上述提到的「隱藏」目的,編輯電腦檔案字元組或者是一種較易的檔案隱藏方法。當採用十六進制編輯器開啟不同的檔案,大家便可見到檔案的「真身」。 所謂的「真身」其實是一堆沒有意義的字符,其實電腦只明白數字,而大家眼見的文字檔案或遊戲等,其華麗的介面背後都是由最原始的二進制、十六進制等方式形成,因此不同檔案背後最原始的當然就是一堆我們看不明白的字元組。
而通過十六進制編輯器,罪犯便可將圖像化的檔案背後的字元組分拆,最終將證據化整為零;此舉將令檔案重新合併時極為困難,同時檔案的修改時間亦較難被法庭接受;加上罪犯可通過將分拆的碎片分開儲存,例如儲存位於不同國家的電腦、磁片之中,從而增加搜證難度。
實際應用例子
以十六進制編輯器檢視 Windows 系統之中的 .jpg 圖像,會見到以下畫面。
當中的字元組有不同意思,例同某些位置所顯示的字符代表了檔案的類型等等。若將這些位元組分段複製,並貼到及分別儲存於正常檔案之中,那取證工作便十分困難了;雖然取證工具仍然有機會檢視到檔案之中被植入原本不屬於該檔案的位元組,但假如罪犯利用此方法,再配合上將分拆的位元組傳送到多國的電腦系統之中,警察幾乎不能追查到所有碎片的位置,而且碎片如何合併成完整的檔案亦幾乎無法知曉。
以此方法在隱藏檔案上有一定的效果,而且最重要的是能大大增加取證難度,儘管取證工作仍然可通過指定的工具將這些額外的位元組從中揪出,然而此舉將需要花上大量時間,加上罪犯如將分拆後的位元組存放於位於各國的電腦系統之中,要取證更是難上加難。若你也有些「不想見人」的檔案,或者也可考慮使用此方法處理。
