掌握時間=避開法律責任 淺談時間對電腦罪行的重要性

近日的新聞令全城對DDoS攻擊 有更進一步的認識;但大家未必了解調查人員在確定到發動攻擊的罪犯後,進行拘捕時的取證工作。
news08

電腦取證高深學問

電腦取證是一門高深學問,因為在取證過程之中,除了要小心避免難以預料的情況令證據的合法性盡失外,更需要了解整個系統的運行概念。由於電腦取證困難,難怪到現時為止,全球仍有警員於調查期間因不小心而令證物的真確性存疑,因而令電子證物失去法庭的認可。

由於整個取證的過程十分複雜,礙於篇幅,今次先與大家分享一下「時間」對於電子證物的重要性。

案發時間十分重要

不論是電腦罪行又或真實世界所發生的案件,在調查期間除了要釐清行兇動機、第一案發地點外,最重要且能左右判決的就是「時間」,時間未能確定的話,所帶來的影響不用多說。 不過在電腦罪案層面上,要確定案發時間相對困難,因為Windows 系統往往會自動改變某些資料夾的時間又或在電子證物的存放位置自動新增隱形檔案,例如暫存檔案(cache)、資源回收筒所產生的隱藏檔案等等,從而令存放犯罪證據的資料夾出現了被修改過的時間,最終有機會令證物失去法庭認可。

解決方法

既然電腦取證工作十分麻煩,所以在進行取證工作前專家均先會把整個系統完整地複製,方便日後作「更大膽的取證動作」。不過問題是當進行複製時,如何避免複製過程中,由系統自動產生的種種暫存檔做成的影響?答案就是使用 Write Blocker。

Write Blocker 是一件實體設備,外形比大家常用的滑鼠大一點;專家會通過 Write Blocker 接駁到取證電腦,而另一方接口則會接駁到調查人員的電腦進行複製動作;由於 Write Blocker 的特性就是禁止任何寫入動作,例如會將所有寫入的動作傳回失敗指令或以 Write Blocker 上的記憶體暫存由系統自動產生的檔案,所以能有效避免幾乎所有令證物失效的修改時間因素。

罪犯可改變系統時間

雖然 Write Blocker 可以解決了檔案修改時間的問題,但黑客仍可透過直接變更系統時間來令證物有機會失效。

要查看 Windows 系統之中不同檔案的修改時間,我們通常會透過選擇有關檔案,然後按滑鼠右鍵再按內容,此時便可看到修改時間。

但法庭卻不信任這個修改時間,因為罪犯只需更改 BIOS 以及系統本身的時間,便可令這個檔案的最後修改時間變得不合常理(例如可把系統時間設定為未來);幸好 Windows 系統在大家看到的修改時間背後,有一個大家看不見的時間紀錄檔;加上調查期間我們可通過推測罪犯的行為,從而檢視有可能按下的位置;由於每一個動作在 Windows 系統之中都有檔案紀錄著修改時間,因此將罪犯的幾個動作(例如按下某些按鈕的時間與證物的時間作對比),便可對案發時間作較準確的推測,而法庭對於這種由多個動作的執行時間所構成的案發時間推測會較為信任;並非大家看到的檔案修改時間,所以電腦取證除了要兼顧技術之外,亦需懂得與電腦罪行相關的法規。

所以說能掌握時間某程度上絕對能主宰了電腦罪行是否成立!如果有機會的話,在未來我們希望和大家一步一步檢視不同情況下的取證工作,揭開更多黑客在犯罪過程中採取的、令人意想不到的行動!