第六屆台灣好厲駭 – 中華資安 – 隱藏的破案科學 筆記 0x1

禁止寫 Write up

Author

  • Cindy
  • 中華資安 – 數位鑑識暨資安檢測中心 技術主管
    • 數位鑑識
    • 事件回應
    • 網路分析

初見紅藍隊
How Cyber Attacks Threaten Our Security

日常案件

  • 槍手和考生合成照
    • 原始檔有可用記錄
  • 海軍士官長當共諜
    • 用隨身碟偷通信程式
  • 1909億商業機密外流
    • 營業秘密法偵辦蒐證困難
      • 資訊不法取得、洩漏、使用
      • 資訊取得過程隱晦
  • 攔查三寶歧視 – 身上藏毒
    • 查扣手機送數位鑑識解析
  • 手機通訊內容是偵查重點
    • 扣押手機,進行數位鑑識

資安事件應變團隊

團隊能力

  • 證照
    • CISSP
    • CHFI
    • CEH
    • IEC 62443Certificate 1&2
  • 專業
    • IR
    • 逆向工程
    • 威脅獵捕
    • 漏洞分析

數位鑑識檢測中心

  • ISO17025認證
  • TAF 認可實驗室

財團法人全國認證基金會 (https://www.taftw.org.tw/)

鑑識科學試驗

  • 儲存媒體(硬碟、隨身碟、記憶卡)
  • Z 078 資訊重現 刪除檔案還原、關鍵字搜尋
  • TACL-305 案件分析標準作業流程
  • 硬碟、隨身碟、記憶卡

認識數位鑑識

  • 什麼是數位鑑識
  • 數位鑑識 與 IR
  • 數位鑑識作業與流程

什麼是數位鑑識?

鑑識科學的分支,對數位裝置進行調查與復原。

數位鑑識 與 IR

Digital Forensics

  • SOP、法規、壓映像檔、制式流程
  • 刪除檔案復原、關鍵字搜尋

Incident Response (IR)

  • 網路封包、病毒、日誌分析

DFIR

  • Digital Forensics and Incident Response

數位鑑識

  • 網路鑑識
  • IOT鑑識
  • 記憶體鑑識
  • 主機鑑識
  • 雲端鑑識
  • 影像鑑識
  • 手機鑑識

政府機關(構)資安事件數位證據保全標準作業程序

  • 中華民國104年8月4日
  • 明定數位證據保全的標準作業程序,從現場採證開始,需全程錄影拍照,每個步驟需要詳細紀錄,證物緘封需照標準程序,運送途中須確保證物安全…

數位鑑識作業階段

  1. 資安事件發生後,執行蒐證標準流程
  2. 數位證據保全
    • 數位證據識別、蒐集、擷取、封緘、運送
    • 送ISO17025數位鑑識暨資安檢測中心
  3. 數位鑑識
    • 重現分析證物、證據
    • 產出具法律效力鑑識報告

證據封存及運送 (Preserve)

  1. 防止數位證物遭到破壞
  2. 確保證據監管鏈不中斷

現場蒐證 (Identify, Collect)

  1. 辨識數位證物
  2. 防止數位證據被污染
  3. 需完整取得數位證據並執行驗證

報告及法院呈現 (Present)

  1. 僅呈現與本案相關證據
  2. 舉證之所在,敗訴之所在

鑑識分析 (Analysis)

  1. 分析攻擊或資安事件來源
  2. 還原攻擊或案件原貌
  3. 列出案件相關時間軸

鑑識分析概略流程

  1. 鑑識分析開始
  2. 製作證據映像檔
    • 映像檔製作工具
  3. 復原作業
    • 磁碟還原
    • 資料夾還原
    • 特定檔案還原
  4. 分析作業
    • 雜湊值比對
    • 檔案特徵值
    • 搜尋關鍵字
  5. 數位證據
  6. 製作報告

數位鑑識作業

數位證據蒐集作業

製作儲存媒體副本 (理想狀況)

針對所封存之儲存媒體進行鑑識性複製,製作出與原始證據實體內容完全相同得證據映像檔(image file)及儲存媒體複本。

HASH 比對

製作儲存媒體副本 (無法封存原始媒體時)

原始媒體繼續使用 或 證物 無法帶回

侵入式鑑識

就是製作備份件


內容多 拆分幾個文章處理

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

17 − nine =

Back To Top
error: Content is protected !!