硬碟數位證據保存 | 硬碟拷貝機在數位鑑識領域所扮演的角色


forensic evidence storage

什麼是數位鑑識?

數位鑑識就是透過對數位裝置(包括硬碟、USB、記憶卡等各種儲存裝置,甚至是電子郵件...等) 的內容進行蒐集及調查來重現犯罪事件。

隨著科技日新月異,高刻記犯罪已成趨勢,像是釣魚網站、詐騙、木馬病毒...等,所有的文件、公訓都邁向電子化,也使得數位(/儲存)裝置已成為最有力的犯罪證據。

然而…
呈現於法院的證據必須「未經竄改或刪除」

保存是數位證據非常重要的一環,若你沒有一定的可信度,該證據在法庭上就失去證據的效力,這也就是為什麼必須確保證據保存在最原始狀態的原因。


證據副本 - 確保數位證據的完整性

也就是因為如此,為了保留原始證據的完整性,鑑識人員通常會建立兩個副本,其中一個保存用、另外一個則用來進行分析及調查

數位鑑識困境: 難以保存、容易遭竄改

保存原始數位證據或是在建立副本時,往往會面臨2大困難。

一、難以保存,容易受到物理破壞

數位證據時常被保存在硬碟、USB及光碟等其他儲存裝置之中,而這些儲存裝置若沒有妥善的保存,容易受到環境的影響而造成無法讀取。
濕氣、磁力、甚至是外力的撞擊都有可能造成檔案的損毀無法使用。

所以這些證據從犯罪現場帶回來時,建議存放在防震、防摔和防水容器中,並放置在有恆溫、恆濕的地方,減少受到環境的破壞。


二、容易遭到修改、竄改

數位證據具有不著痕跡增刪修改的特性,在每次讀取文件的同時,都有可能會改變到原始檔案的內容。
舉例來說,若沒有將裝置加密,任何人都可以輕易的刪除/複製證據中的檔案。
建立副本時,很有可能因為使用的軟體的因素,在不被察覺的情況下加入不知名的資料夾或檔案,而任何的微幅修改都會降低該證據的可信力,成為無效的證據。

解決方式 - 確認硬碟保存的完整性

一、紀錄該硬碟證據的Hash值

若懷疑證據遭到竄改,可以利用計算硬碟中的hash值並與原始硬碟的hash值做比對便可得知硬碟是否一致來判定證據是否有遭竄改。

同理,建立副本也是使用同樣的方式來確認是否製作出來的副本跟原始硬碟一致。
在製作副本時,通常會以位對位(Bit-by-bit)的方式拷貝,也就是資料儲存最小的單位來複製,以確保刪除的檔案、刻意隱藏的區域都能完整的被複製,以利接下來的復原及分析工作。

二、原始證據加密

除了使用建立的副本來做復原及分析的工作之外,另一個方式則是將證據加密,為了避免證據被竄改,最常使用的方式是使用數位簽章、MD5及其他加密技術來將檔案存檔。

‧ ‧ ‧
在這個資訊爆炸的時代 ,證據已不像以往紙本記錄的方式那麼好取得,儲存在電腦裡的資料也成為法庭的依據之一。了解如何保存及分析裝置中的訊息,是數會鑑識中不可或缺的一環。
我們針對數位鑑識提供硬碟保存的解決方案 – Holmes 221B硬碟拷貝機
Holmes 221B是一台專為鑑識法證研發的硬碟拷貝機,擁有防寫功能且配有演算MD5及SHA-1雜湊值,同時還提供操作紀錄讓您可以清楚掌握硬碟所有拷貝紀錄!