一、前言
近年來,互聯網的出現讓人們的生活越來越依賴網路,大量網路使用者湧入網路世界,各行各業無不透過互聯網來進行資料的輸入、處理、儲存、保管及使用,使得人類與各類資訊零距離,然而「水能載舟,亦能覆舟」,經過電腦數位化處理後,網路資通安全事件亦隨之不斷發生,嚴重影響人民智慧生活。於是數位鑑識在這個時代越來越重要,而數位鑑識的工具也越來越多種,每個工具都有適合使用的情況,於是本文將會介紹三種數位鑑識工具,比較並且分析他們的技術,並使用國內林宜隆教授提出的數位鑑識標準作業程序(DEFSOP),實際操作來驗證。
二、文獻探討
2.1數位鑑識
數位鑑識(Cyber Forensics有時又被稱作數位鑑識科學、數位取證)乃是鑑識科學的其中一個分支,主要在針對數位裝置中的內容進行調查與復原,這常常是與電腦犯罪有所相關。我國學者林宜隆教授認為資安數位鑑識範圍應該包含電腦鑑識(Computer Forensics)、軟體鑑識(Software Forensics)、資料鑑識(Data Forensics)、網路鑑識(Network Forensics)、行動鑑識(Mobile Forensics)以及雲端鑑識(Cloud forensics)等6大類(林宜隆,2012)(如圖1)
三、數位證據鑑識標準作業程序與資安事件應用實作
3.1 數位證據鑑識標準作業程序(DEFSOP)與數位鑑識工具結合
數位證據鑑識標準作業程序(如圖1)由國內學者林宜隆教授提出,將資安事件處理分為概念階段、準備階段、操作階段、報告階段,透過文本報告檔案使資安事件清晰、條理化,若走到法律途徑時也能使其在法庭的證據能力有效的提升,因此需將數位證據更完整的呈現,在操作階段時選擇適當的數位鑑識工具使用找出重要的數位證據紀錄並保存。(如圖2)