禁止寫 Write up
Author
- Cindy
- 中華資安 – 數位鑑識暨資安檢測中心 技術主管
- 數位鑑識
- 事件回應
- 網路分析
初見紅藍隊
How Cyber Attacks Threaten Our Security
日常案件
- 槍手和考生合成照
- 原始檔有可用記錄
- 海軍士官長當共諜
- 用隨身碟偷通信程式
- 1909億商業機密外流
- 營業秘密法偵辦蒐證困難
- 資訊不法取得、洩漏、使用
- 資訊取得過程隱晦
- 營業秘密法偵辦蒐證困難
- 攔查三寶歧視 – 身上藏毒
- 查扣手機送數位鑑識解析
- 手機通訊內容是偵查重點
- 扣押手機,進行數位鑑識
資安事件應變團隊
團隊能力
- 證照
- CISSP
- CHFI
- CEH
- IEC 62443Certificate 1&2
- 專業
- IR
- 逆向工程
- 威脅獵捕
- 漏洞分析
數位鑑識檢測中心
- ISO17025認證
- TAF 認可實驗室
財團法人全國認證基金會 (https://www.taftw.org.tw/)
鑑識科學試驗
- 儲存媒體(硬碟、隨身碟、記憶卡)
- Z 078 資訊重現 刪除檔案還原、關鍵字搜尋
- TACL-305 案件分析標準作業流程
- 硬碟、隨身碟、記憶卡
認識數位鑑識
- 什麼是數位鑑識
- 數位鑑識 與 IR
- 數位鑑識作業與流程
什麼是數位鑑識?
鑑識科學的分支,對數位裝置進行調查與復原。
數位鑑識 與 IR
Digital Forensics
- SOP、法規、壓映像檔、制式流程
- 刪除檔案復原、關鍵字搜尋
Incident Response (IR)
- 網路封包、病毒、日誌分析
DFIR
- Digital Forensics and Incident Response
數位鑑識
- 網路鑑識
- IOT鑑識
- 記憶體鑑識
- 主機鑑識
- 雲端鑑識
- 影像鑑識
- 手機鑑識
政府機關(構)資安事件數位證據保全標準作業程序
- 中華民國104年8月4日
- 明定數位證據保全的標準作業程序,從現場採證開始,需全程錄影拍照,每個步驟需要詳細紀錄,證物緘封需照標準程序,運送途中須確保證物安全…
數位鑑識作業階段
- 資安事件發生後,執行蒐證標準流程
- 數位證據保全
- 數位證據識別、蒐集、擷取、封緘、運送
- 送ISO17025數位鑑識暨資安檢測中心
- 數位鑑識
- 重現分析證物、證據
- 產出具法律效力鑑識報告
證據封存及運送 (Preserve)
- 防止數位證物遭到破壞
- 確保證據監管鏈不中斷
現場蒐證 (Identify, Collect)
- 辨識數位證物
- 防止數位證據被污染
- 需完整取得數位證據並執行驗證
報告及法院呈現 (Present)
- 僅呈現與本案相關證據
- 舉證之所在,敗訴之所在
鑑識分析 (Analysis)
- 分析攻擊或資安事件來源
- 還原攻擊或案件原貌
- 列出案件相關時間軸
鑑識分析概略流程
- 鑑識分析開始
- 製作證據映像檔
- 映像檔製作工具
- 復原作業
- 磁碟還原
- 資料夾還原
- 特定檔案還原
- 分析作業
- 雜湊值比對
- 檔案特徵值
- 搜尋關鍵字
- 數位證據
- 製作報告
數位鑑識作業
數位證據蒐集作業
製作儲存媒體副本 (理想狀況)
針對所封存之儲存媒體進行鑑識性複製,製作出與原始證據實體內容完全相同得證據映像檔(image file)及儲存媒體複本。
HASH 比對
製作儲存媒體副本 (無法封存原始媒體時)
原始媒體繼續使用 或 證物 無法帶回
侵入式鑑識
就是製作備份件
內容多 拆分幾個文章處理
