本文件探讨了计算机法医学程序及电信犯罪的转变，强调数字证据的采集和分析，其中包含对现有法律框架和技术应用的研究。作者指出目前国内计算机法医学仍处于初始阶段，呼吁提高对此领域的重视以增强公信力。文中还涉及到对P2P技术及其相关法律的讨论，旨在改善信息安全及犯罪侦查手段。

1. 電腦鑑識程序之研究 A Survey of the Procedure for Computer Forensics 劉文港 2008/11/11

2. Outline 緒論 文獻探討 電腦犯罪 資安鑑識 P2P 技術 實驗 電腦犯罪數位證據蒐集鑑識程序 XP Live CD 整合電腦鑑識工具設計與實現 P2P 數位證據蒐集鑑識程序

3. 研究背景 刑事鑑定專家李昌鈺博士所說，凡走過必留下痕跡，利用電腦鑑識來擷取電腦犯罪所遺留的數位證據亦是相同。 刑事鑑定所鑑識的物品為實體物證，而電腦鑑識的證據，大部分是以數位科技設備所產生的電子紀錄，以數位證據稱之。

4. 研究動機 近年來電腦犯罪案例層出不窮，讓司法機關與執法單位面臨了更大的挑戰與困難，因為此時的刑案現場，已經由一般的真實生活拓展到資訊電腦的平台上，無遠弗屆的網際網路上也成為一個犯罪的場所。 反觀國內，目前電腦鑑識仍屬於起步階段，缺乏相關學者研究。

5. 研究目的 如何讓經過電腦鑑識分析後的數位證據可以具有公信力及法律地位，分析電腦犯罪的型態及電腦作業平台上所能利用的電腦鑑識工具，是調查鑑識人員需要清楚了解的問題。 當有心人士利用電腦犯罪，進而有損他人利益等非法行為發生時，如何找出犯罪者在電腦留存的相關紀錄檔案以為事實證據，讓檢調單位作為佐證。

6. 目前已知約有 20 餘種的電腦作業系統，根據 Market Share 對全球作業系統佔有率的報告顯示，到 2008 年 10 月為止， XP 為 68 ％，作業系統佔有率還是以 MS Windows 系列獨大，相對的成為電腦犯罪上常見的作業平台，因此研究鑑識工具，主要針對可在 XP 作業系統下執行。

7. 詮釋電腦犯罪 廖有祿教授提出電腦犯罪的動機事實上以圖利為主、其次是好玩、報 復、詐財、侵佔、及破壞等。 一 . 以電腦作為犯罪工具 甲利用 BBS 或論壇發佈對乙不實的訊息、使乙的名譽受損。駭客利用電 腦軟體程式入侵受害者電腦，竊取受害者電腦上資料。 二 . 以電腦作為犯罪場所 透過電腦網路傳遞病毒或木馬程式至全球電腦使用者的主機上。 三 . 以他人電腦作為犯罪目標 駭客利用電腦作業系統漏洞來控制他人電腦主機，進行電腦犯罪活動。

8. 電腦犯罪趨勢及威脅統計 根據 2007 CSI/FBI Computer Crime and Security Survey 調查研究報告，我們可以瞭解近七年來 (2000-2007) 電腦犯罪趨勢及威脅統計。 在 2003 年剛成長的資訊科技中，無線網路濫用威脅直到 2007 年均為最高。

10. 電腦犯罪損失統計 在 2007 年電腦犯罪損失統計由大到小依序為金融詐欺、病毒、外部者入侵系統、企業重要資產信息或可移動設備硬體遭竊。

11. 對比 2006 年的統計資料：病毒的破壞損失最高，佔據著損失的第 1 名，其次是未經授權登陸。

12. 電腦犯罪安全技術應用統計 2007 年調查研究報告，目前資訊安全技術應用，前三名依序為防毒軟體、防火牆、虛擬私有網路，在 2006 年 CSI/FBI 把鑑識工具獨立出來後，也略有成長。

13. 科技法律 第十五章第 220 條第三項：在紙上或物品上之文字、符號、圖畫、照像，依習慣或特約，足以為表示其用意之證明者，關於本章及本章以外各罪，以文書論。錄音、錄影或電磁紀錄，藉機器或電腦之處理所顯示之聲音、影像或符號，足以為表示其用意之證明者，亦用。稱電磁紀錄，指以電子、磁性或其他無法以人之知覺直接認識之方式所製成之紀錄，而供電腦處理之用者。

14. 電腦鑑識 學者 Kuchta 認為電腦鑑識程序如下：準備工作 (Preparation) 、紀錄與文件化（ Documentation ）、收集（ Collection ）、驗證（ Authentication ）、分析（ Analysis ）、保護（ Preservation ）、產出結果（ Production ）、報告文件（ Reporting ）八種程序。 學者 Thomas Rude 認為電腦鑑識程序如下：電腦鑑識準備工作 (Preparation) 、快照（ Snapshot ）、移轉（ Transport ）、實驗室鑑識準備工作 (Preparation) 、調查（ Examination ）。

15. 民國八十五年內政部警政署刑事警察局下設偵查第九隊，該隊前身為電腦犯罪偵防小組，是國內電腦犯罪的主要偵防單位，專責資訊、網路、科技相關犯罪偵查。 民國九十二年二月二十二日成立「刑事鑑識中心」，鑑識科負責各犯罪鑑識工作專司，其工作內容分為毒物、聲紋、電氣、痕跡、測謊、影像、綜合、印文、化學、物理十個鑑識組別。

16. 數位證據 林一德教授以法律觀點來看數位證據可以分為以下幾類： 一 . 書證： 原始證據資料以書面文字記載，後來輸入電腦中儲存。由書面文字轉成 電磁記錄、若將其原始資料印製在電腦螢幕上並且列印輸出，即能還原 初始書面文字資料，具備可直接讀取能力，即可視同是書證。 二 . 物證： 無法以外表或語言陳述該證據內容，必須透過電腦讀取才能得知內容。 例如利用光碟機讀取光碟片，才能瞭解光碟片的內容。 三 . 其他證據： 可輸出至文字檔或影像檔，直接成為證據。例如病毒程式或者圖片。

17. 以刑案現場蒐證技術觀點來看，在進行電腦鑑識所採集的數位證據。 一 . 實體： 數位證據是存在於電子儲存設備的資料，進行蒐證時，使用存取資料方 法，將資料分析出來的證據即為數位證據。 二 . 邏輯： 數位證據必須經由相關資源中粹取出來，資源包含 logfile 、資料庫等。

18. 英國警察協會 (Association of Chief Police Officer, ACPO) 參考國際電腦證據組織 (International Organization of Computer Evidence) 數位證據採集原則，在 1999 年提出 「 The Good Practices Guide for Computer Based Evidence 」四項電腦證據處理指導原則。

19. 一 . 為了取得法院對於數位證據的信任，處理刑事案件的警察人員或委託人員，必須確保數位證據為犯罪現場原始的狀態，內容不得修改。 二 . 在例外情況下，如果需要存取原始電腦物證的資料，必須由有能力處理的人員，進行存取的動作，且對其處理的動作應予說明，並適當解釋證據的意義。

20. 三 . 對於電腦物證的任何稽核資料或其它紀錄的處理過程，應建立處理方法與保留結果，委由公正的第三者進行相同的處理程序，其所得結果應相同。 四 . 案件承辦的負責人，不管任何人存取電腦資料或使用拷背設備存取資料，都必須確保遵守法律的規範與以上處理原則。

21. P2P 原理與發展架構 同一網路上的電腦可形成一龐大的超級電腦，每個用戶都可將未使用到的 CPU 資源分享。在大企業中，部分時段總會有許多電腦處於待機狀態，此使就可利用 P2P 技術拿來處理龐大的運算問題。 運用外星人探索計畫 (SETI) 。 P2P 運算也稱為 grid computing( 網格運算 ) 或 distributed computing( 分散式運算 ) 。

22. 第三代的 P2P 技術 2002 年由美國軟體工程師 Bram Cohen 發明，打破傳統 P2P 分享方式， 採用多點對多點傳輸，利用“ torrent” 為副檔名的檔案，將上載者 (Seed) 和 下載者 (Peer) 連結起來。 BT 目前熱門使用的軟體有： BitComet 、 uTorrent 、 BitSpirit 、 Thunder 、 Azureus 、 FlashGet 、 Foxy 等，部分軟體還同時支援 HTTP 及 FTP 等多種 網路傳輸協定。

24. P2P 流量統計與分析 2007 年 8-9 月份，德國網路研究機構 ipoque 公司對大約 100 萬用戶的 3PB(3000TB) 網路流量進行了分析統計。

26. P2P 安全性問題 2007 年 4 月國內警局傳出筆錄因 Foxy 軟體使用不當而外洩的事件。

27. P2P 相關著作權法 美國唱片產業協會（ RIAA ） 2008 年公佈了 College Deterrence （校園遏阻）方案。代表唱片公司對全美 18 所大學的學生，寄出新一波 407 封訴訟前的和解通知函，當中指出校園網路被大量濫用來盜版音樂的證據。接到通知函的學生必須自行閱讀 RIAA 的 P2P 訴訟網頁，並在實際的訴訟展開前與該組織和解。

28. 教育部近年來通令各級學校注意，加強宣導著作權法以避免網路侵權行 為，切莫因輕忽以致被美方蒐證到侵權行為，進而影響國家整體形象。

29. XP Live CD 整合電腦鑑識工具設計與實現 在許多電腦犯罪案件中，鑑識人員往往在扣押了犯罪者電腦主機證物之後，發現電腦主機無法順利開機，進入作業系統調查證據。 提出利用 XP Live CD 整合電腦鑑識工具，建立獨立性的作業系統，在不更動電腦系統硬體狀態下順利開機成功，進入作業系統進行電腦鑑識工作，間接隔絕電腦主硬碟開機所帶來的電腦病毒侵害，避免破壞鑑識檔案所收集數位證據的完整性。

30. 研究主要以 BartPE 探討，利用 Microsoft Windows XP 原始安裝光碟，提取出光碟開機必須的核心檔案，進而讓使用者達成免硬碟安裝作業系統，即可利用光碟片開機，支援 FAT 、 NTFS 、 CDFS 檔案系統格式，擁有獨立的作業系統操作環境，以 XP Live CD 稱之。

34. 1. 磁碟恢復與鏡像檔製作工具 電腦的儲存設備，通常以硬式磁碟機為主，針對查扣犯罪者的電腦主機硬碟作調查，例如曾經存取過那些檔案，更進一步甚至可以還原被刪除的檔案，以利案情的釐清。

35. 鑑識主機相關儲存設備加以複製，製作映像檔保存，包括作業系統、驅動程式、使用者權限設定、資料檔案等，確保日後資料如果發生毀壞得以還原。

36. 2. 密碼破解工具 針對犯罪者主機硬碟資料作蒐證時，經常會碰到加密過的檔案，加密保護的檔案文件中，可能佔有極大的證據有利案情發展，或犯罪者的網路相關帳號密碼無法登入，此時可以善用密碼破解工具來幫助鑑識工作的進行。

37. 3. 資訊隱藏探勘工具 隱藏資訊的技術與方法有許多種，包括改變副檔名到利用編碼方式，將資訊隱藏在非自身檔案格式的類型中，這些技術與方法常會被犯罪者用以隱藏其犯罪事實證據。

39. 4. 惡意程式碼偵測工具 所謂的惡意程式，泛指會對系統造成破壞或達到入侵目的之程式指令而言，例如駭客透過電子郵件和惡意軟體來散播和網路詐欺行為。

40. 5. 網路查詢與追蹤工具 步驟一 . 本文以實際探訪利用電腦網路當作犯罪空間場所的違法者。鑑識人員偵察網路犯罪中，發現盜版商以電子化的經營理念架設網站，分門別類的目錄中，詳細介紹盜版的新貨。

41. 步驟二 . 針對網路盜版商，鑑識人員利用 nslookup 工具，正解 xyz66.com 網站，查出其網站 IP 為 74.86.178.68 。

43. 步驟三 . 鑑識人員利用 My IP 網站查詢盜版商的 IP 地址，並且精確找到該 IP 的國家、城市、經緯度、 ISP 服務商，並且定位到實際的地理位置。 步驟四 . 鑑識人員根據所追蹤到的 IP 位址，向電信業者查詢 IP 位址使用者的相關資訊，必要時向司法機關申請核發搜索票，扣押違法者電腦主機等相關電子儲存裝置。

44. 6. 資訊搜尋工具 由於現在一般大容量的硬碟價格便宜，相對的易造成犯罪者儲存在電腦中，或網路上的資訊量龐大，在鑑識過程中，鑑識人員面對如此大量的資訊，必須藉助可利於搜尋的工具，來尋找並且分析證據。

46. 7. 驗證工具 電腦鑑識需要利用資訊安全的完整性、不可否認性，對於鑑識所取得數位證據資料而言，驗證算是鑑識工具裡面最重要的階段，鑑識人員針對工具、檔案、映像檔使用 MD5 、 SHA1 及 CRC32 演算法，保障工具安全性及證明資料原始完整性，表示資料沒有經過任何的修改或破壞，增加法庭上的證據效力。

47. 8. 整合性工具 本文所指整合性工具，是包含前面所提的各類工具部分或全部功能，軟體工具開發業者將其整合到簡單的操作介面環境，或自動化擷取分析鑑識人員所要的數位證據，快速有效率地進行鑑識工作 例如 Guidance Software 的 EnCase ，就是一套商業性質的電腦鑑識工具，長久以來在電腦鑑識界中有一定的知名度，另外也是執法單位與民間企業最常見的鑑識工具之一，並且合乎法庭上所認定的標準鑑識工具

49. 使用者以燒錄好 XP Live CD 整合電腦鑑識工具之後，為了讓電腦能夠讓光碟片開機，需要調整 BIOS 開機來源設定，使第一個開機順序是光碟機。 在大多數的電腦啟動中，只要按下鍵盤上的 Del 鍵，有些筆記型電腦則是按 F2 ，以切入 BIOS 設定模式，在 BIOS 設定模式中，選擇 BIOS FEATURES SETUP 或 Advanced BIOS Setup 項目，就可以找到 Boot Sequence 的控制項，把光碟機調整到第一個開機項目，儲存後退出，將 XP Live CD 整合電腦鑑識工具放入光碟機，即可完成光碟開機動作，並看到開機畫面。

51. 電腦犯罪數位證據蒐集鑑識程序

52. 步驟一 . 司法警察偵察電腦犯罪情事，發現利用電腦網路當作犯罪工具、犯罪場 所的違法者，本文研究以實際探訪利用電腦網路當作犯罪空間的違法 者。

54. 步驟二 . 針對案例四，司法警察必須向司法機關申請核發搜索票，扣押違法者電 腦主機等相關電子儲存裝置，因為所在網路上看到的犯罪事項，罪證並 不是所看到的網頁內容。

55. 原始內容可能在犯罪者自行架設網站的電腦主機，或委託外包公司架設 網站的伺服器主機，在扣押了證物之後，針對違法者的電腦主機如遇開 機不了，無法順利進入作業系統調查證據，鑑識人員以 XP Live CD 整合 電腦鑑識工具順利開機成功，研究以 VirtualBox 虛擬系統軟體實驗。

56. 步驟三 . 鑑識人員順利開機進入作業系統後，先以 Ghost 工具將鑑識主機相關儲存 設備加以複製，製作映像檔保存，包括作業系統、驅動程式、使用者權 限設定、資料檔案等，確保日後資料如果發生毀壞得以還原。

57. 搜尋階段 1. 檢測檔案類型，針對檔案的不同資訊來搜尋。 2. 連線的 Log 檔，針對不尋常的區域或行為查看。 3. 資源回收筒還原刪除的檔案。 4. 回復遭到病毒刪除、電力中斷遺失、磁區重新格式化、壞軌損毀的檔案。 5. 查看使用者曾經開啟的程式。 6. 找出系統紀錄中曾經出現的密碼。 7. 監聽本機及區域網路 Web 、 FTP 、 Email 所傳送的密碼。 8. 破解 MS Word Excel Outlook Access 、 PDF 密碼。 9. 隱藏檔資訊。 10. 登記的網域 IP 資訊，位址的擁有者、電話、電子郵件等資訊。

58. 分析階段 1. 系統登錄檔 (Registry) 中的註冊鍵值。 2. 傾印 Dump Process Memory 的資料。 3. 磁碟資料夾的大小、數量、建立日期、最近開啟的檔案目錄資訊。 4. 作業系統服務 Service 、安全標識符 (SID) 、執行中進程的資訊。 5. 本機登入、遠端網路登入、使用伺服器用戶、系統登入時的自動啟動程式。 6. 目錄、檔案及登錄機碼的存取對象和方式。 7. 硬碟存取活動紀錄、追蹤系統或應用程式檔案組態。 8. 檔案開啟、讀取、寫入或刪除發生的時間。 9. 監控程式，顯示讀取和寫入的登錄資料。 10. 電腦上各個通訊埠連接情況，擷取 TCP/IP 封包。 11. 網頁瀏覽歷史、搜索、 Cookies 、緩衝紀錄。 12. 解析、反解析 IP 地址。

59. 驗證階段 驗證算是鑑識工具裡面最重要的階段，鑑識人員針對工具、檔案、映像檔，在 MD5 、 SHA1 及 CRC32 演算法之下，可以保障工具安全性或證明資料原始完整性，表示鑑識過程沒有經過任何的修改或破壞，增加法庭上的證據效力。

60. 步驟四 . 鑑識人員將所取得相關證物檔案，另外儲存到外接式儲存裝置，放到安 全的地方保管。 步驟五 . 鑑識人員彙整鑑識報告，陳述鑑識過程使用的工具及事件描述，呈交相 關單位調閱查看。

62. P2P 數位證據蒐集鑑識程序 本文提出鑑識人員在面對 P2P 侵權犯罪情事，鑑識程序如圖所示。

63. 步驟一 . 司法警察偵察 P2P 侵權犯罪情事，根據 iThome online 2008-02-12 報導 Vista SP1 RTM 版在 P2P 網路上流出，指出微軟在 2 月 4 日釋出 Windows Vista SP1 的 RTM 版， BitTorrent 及其他檔案分享平台，都可以找到 Vista SP1 的載點，在發現 P2P 侵權犯罪案件之後，鑑識人員介入調查。本文研究以實際探訪 P2P 侵權犯罪情事，根據鑑識程序，首先針對了四個偵辦方向去著手調查。

64. 1. 在 P2P 搜尋引擎網站搜尋 Vista SP1 關鍵字，找到了數個 P2P 連結下載 BT 種子檔，其中 Seeds 是代表擁有 100 ％完整檔主要提供分享的人，負 責傳輸給其他 Leechers 下載者。

65. 2. 執行 P2P 搜尋引擎工具，搜尋 Vista SP1 關鍵字，發現了為數不少的 P2P 連結 BT 種子檔，其中 Seeds 是代表擁有 100 ％完整檔主要提供分享 的人，負責傳輸給其他 Peers 下載者。

66. 執行 P2P 軟體，利用本身內建搜尋種子引擎，搜尋 Vista SP1 關鍵字，發現了 P2P 連結下載 BT 種子檔。

67. 偵察國內網路論壇中，司法警察看到提供 P2P 連結下載 BT 種子檔。

68. 步驟二 . 鑑識人員選擇以國內網路論壇中，所提供 P2P 連結 BT 種子檔偵察，執行 BitComet 軟體參與下載，初下載時可從檔案清單大致推敲，分享的內容為一個光碟 ISO 映像檔，大小為 3.26GB ，以及目前擁有此完整內容的提供者有 3 人，總下載人數約 309 人（人數隨時都會隨著時間更動） 。

70. 步驟三 . 鑑識人員在下載檔案完成後，將光碟 ISO 映像檔掛載至虛擬系統軟體 VirtualBox 上，啟動並瞭解內容是否為 Vista SP1 作業系統，開機所得到的畫面顯示，確實為 Vista 作業系統的安裝畫面，在安裝完成過後，作業系統版本結果證明是 Vista SP1 版本無誤。

72. 步驟四 . 鑑識人員針對以上鑑識過程中的圖像存檔，並且保留下載內容，利用 HashMyFiles 工具製作 Hash 驗證碼保存。驗證是鑑識程序中最重要的階段，可以保障工具安全性，或證明資料原始完整性，表示鑑識過程中沒有經過任何的修改或破壞，藉以增加法庭上的證據效力。

73. 步驟五 . 鑑識人員彙整鑑識報告，陳述鑑識過程使用的工具以及事件描述，呈交相關單位調閱查看。

74. 謝謝老師以及同學聆聽