取证分析的迷思

Posted 2020-07-15 Pieces0310

由于证物特性的不同,在进行digital evidence的取证分析时,第一要务便是确保电子证据在过程中不致遭受污染或破坏.且由于是和计算机科技有关,随着科技的进步也会多所变化,因此取证分析也要能跟的上变化.

 

大家耳熟能详的就不提了,在此想分享的是取证分析的从业工作者在取证分析上的迷思,给大家参考.以避免犯了相关病征而不自知.

 

1.只知操作工具,而未能了解原理或本质

只知使用工具,而未能了解何以如此,那就可能成了"取证分析匠",在不懂"为何"及"如何"的情况下,容易造成误判甚至铸下大错.

Ex:取证人员以复制机对证物硬盘进行镜像制作,在完成之后,却未能看到目的地硬盘中的镜像文件,以为是操作过程有问题或是复制机坏了...

Ans:这是因为取证人员在操作过程中,未留意到目的地硬盘的文件系统格式的选项所致,若为EXT3,因此为Linux的文件系统格式,当在Windows平台接上这个文件系统为EXT3的硬盘时,自然里头便是"空无一物".

 

2.过度依赖工具,而缺乏判断的能力

这就比第一点严重多了,有些取证人员在IT方面的底子有限,在缺少工具的情况下便无从下手.而即便是使用工具,若工具因bug之故而未"发现",取证人员本身也因缺乏经验而无从验证工具的分析结果.

Ex:取证人员从工具分析结果得知证物计算机曾使用过哪些USB存储设备,但若不使用工具,他/她便找不到了

Ans:有经验者便知Windows平台的相关设定是存放在注册表中,且可以regedit指令找出存在何处.

 

Ex:取证人员以EnCase中分析证物镜像,根据几个中文关键词,试着要从中找出Webmail迹证,结果未有任何发现.

Ans:另一位有经验取证人员,质疑此结果,便再以人工的方式在Unallocated area中进行搜索,果然顺利找到重要迹证.而若以Internet Evidence Finder进行分析,也能顺利找到该重要迹证.

 

3.见树不见林,仅以单一面向进行断案

其实这就是过于"武断"的病征,取证分析人员常挂在嘴边-"让证据说话".但却有一些取证人员不肯先好好全面进行分析,再来汇整分析结果.往往以神探自居,看到一点什么,就忙着要下定论,发表高见.但这样不但不严谨,被打脸的机会也会大增.更遑论若是因为过于"武断"导致报告结果误判,造成冤狱,就难保哪天遭到控告.

Ex:在一个有关营业机密外泄的案件中,看到工具的分析结果中有使用USB存储设备的痕迹,便鐡口直断一定是用来盗取营业机密文件,不然插U盘干嘛...

Ans:这种论调若是一般人说倒也罢了,但就取证分析人员,须讲求科学证据,虽可以进行合理推论,但要就其它相关证据进行左证才行,切莫径入"入人于罪"模式,只求快速结案.

 

4.以有限的经验,妄图推论事发经过

其实这就是个人"小剧场"过度发威的病征,有些取证分析人员其实在IT领域的经验有限,甚至有些了解还是听人家说的或是看网上数据得知,但究竟是对是错自己也没能明辨.

Ex:调查人员一看到分析结果中,在关键时间点前后,有使用磁盘重组的痕迹,立马"小剧场"发威,煞有介事地推论当时的事发经过,断定当时一定是在进行灭证,才会以磁盘重组达到灭证效果.

Ans: IT领域皆知磁盘重组能有效改善硬盘中的文件离散状况,因此若进行磁盘重组也不代表一定是在"灭证".换言之,若是在删除重要迹证后,接着进行格式化或磁盘重组,才能据此说"分析有以相关动作进行反取证的痕迹".

 

5.分析结果明显偏向委托方

其实这就是立场有失中立,因为,若因为$$或是受上级施压,而刻意"调整"分析结果,使其对委托方有利,那就严重违背了取证分析人员的专业及道德良知.

Ex:在一个有关App专利权争议的案件中,委托方要求在分析结果中明确对应出被告侵犯专利的条文及App行为,以利委托方进行诉讼.

Ans:分析结果报告应力求客观中立,而不应配合委托方进行分析结果与"宣称犯罪事实"的对应,只会贻笑大方,破坏报告的客观中立.

 

以上几点,以我个人观点来看,改善的良方便是"经验",取证分析人员可多加充实IT领域相关知识,不仅是看或听,实作尤其重要,不然你也没有能力判断究竟谁说的才是"真"的.举例来说,在制作笔录时, IT人员说事发当晚并没有人连入数据库服务器,若你采信但未经查证,便有可能为其所误导,因为一个很简单的道理-

"不论委托方是单位或个人,来到你面前所说的一切,必然是对其有利的一面."

因此,他/她或他/她的下属,可能会受上级指示而刻意隐瞒对其不利的证据.

 

也许有人会说,很简单啊,叫IT人员把当晚的相关日志全调出来给你看就可以了,但别忘了,若真要隐瞒什么,他/她是不是有可能进行"后制",把改过的东西给你,甚至直接干掉,再跟你说没了...因此,当进行现场取证时,便要能有效掌握证物主机的存取状况,并进一步厘清是否有遭到事后湮灭证据的痕迹,而这若是没有足够的能力及经验,是办不到的.当然了,最高境界是像小弟一样,自己有能力在Unix上下指令或操作数据库

 

其实可怕的不是经验或能力不足,这种顶多是无心之过,最可怕的是-

"有意识的轻率断案或立场偏颇"(如前述第3、4、5点所述)

这种是最不可原谅的过失,因为一旦如此,可能会破坏公众对你所出具报告的信赖程度,甚至会造成冤狱,毕竟专业分析结果是庭上所仰赖的,法官本身并没有能力来做如此高技术含量的取证分析.因此,要审慎再三,哪怕过程中有误判状况,也要即刻反应呈报以弥补,切不可硬拗,以为反正法官也不懂,对方律师也不是技术专家,被告被抓去关也没我的事...别忘了,取证可是良心事业啊~