如何妥善保存數位鑑識證據


forensic evidence storage
隨著科技的日新月異,高科技犯罪也隨之增加,像是釣魚網站、詐騙、木馬病毒...等,所有的文件、通訊都邁向電子化,也使得各種數位裝置中的資料都可以做為犯罪的證據。數位鑑識就是透過對數位裝置(包括硬碟、USB等各種儲存裝置,甚至是電子郵件等)的內容進行收集及調查來重現犯罪事件。

呈現於法院的證據必須未經竄改或刪除。
保存是數位證據非常重要的一環,若沒有一定的可信度,該證據在法庭上就失去價值成為無效的證據,這就是為什麼必須確保證據保存在原始狀態的原因。因此,為了保留原始證據的完整性,鑑識人員通常會建立一個副本,並在這個副本上進行分析及調查。
然而在保存及建立副本時,往往會遇到以下困難:
1. 難以保存,容易受到物理破壞
數位證據時常被保存在硬碟、USB及光碟等其他儲存裝置之中,而這些儲存裝置若沒有妥善的保存,容易受到環境的影響而造成無法讀取,像是濕氣、磁力,甚至是外力的撞擊都有可能造成檔案的損毀無法使用。
所以證據從犯罪現場帶回來時,會存放在防震、防摔和防水容器中,並放置在有恆溫、恆濕的地方,減少受到環境的破壞。

2. 容易遭到修改、竄改
數位證據具有不著痕跡增刪修改的特性,在每次讀取文件的同時,都有可能會改變到原始檔案的內容。 舉例來說,若沒有將裝置加密,任何人都可以輕易的刪除/複製證據中的檔案,甚至是在建立副本時,很有可能因為使用的軟體的因素,在不被察覺的情況下加入不知名的資料夾或檔案,而任何的微幅修改都會降低該證據的可信力,成為無效的證據。

若要確認證據的完整性,常見的方式為紀錄該硬碟的Hash值。若懷疑證據遭到竄改,可以利用計算硬碟中的hash值並與最初的hash值做比對便可得知硬碟是否有遭竄改。同理,建立副本也是使用同樣的方式來確認是否製作出來的副本跟原始硬碟一致。
在製作副本時,通常會以位對位的方式拷貝,也就是資料儲存最小的單位來複製,以確保刪除的檔案、刻意隱藏的區域都能完整的被複製,以利接下來的復原及分析工作。
除了使用建立的副本來做復原及分析的工作之外,另一個方式則是將證據加密,為了避免證據被竄改,最常使用的方式是使用數位簽章、MD5及其他加密技術來將檔案存檔。
‧ ‧ ‧
在這個資訊爆炸的時代 ,證據已不像以往紙本記錄的方式那麼好取得,儲存在電腦裡的資料也成為法庭的依據之一。了解如何保存及分析裝置中的訊息,是數會鑑識中不可或缺的一環。