Download
1 / 23
230 likes | 418 Views
PDA 之數位鑑識研究. 報告人:劉心玫. PDA 簡介. Palm OS( 實用方便 ) 所有 PDA 系統中發展最早的,以簡單實用為出發點,多媒體功能與系統相容性較弱 Window CE 的 Pocket PC( 多媒體 ) 微軟以 WINDOWS CE 作業系統進入手持設備的市場 ,加入簡易版的 Office Word 與 Office Excel 及領先的多媒體功能 歐洲 P sion 的 EPOC OS( 無線通訊 ) EPOC 以通訊產品為發展基礎,且與 Windows 相容,但目前市面上並不多見 開放原始碼的 Linux( 開放架構 )
E N D
PDA之數位鑑識研究 報告人:劉心玫
PDA簡介 Palm OS(實用方便) 所有PDA系統中發展最早的,以簡單實用為出發點,多媒體功能與系統相容性較弱 Window CE的Pocket PC(多媒體) 微軟以WINDOWS CE作業系統進入手持設備的市場 ,加入簡易版的Office Word 與 Office Excel及領先的多媒體功能 歐洲Psion的EPOC OS(無線通訊) EPOC以通訊產品為發展基礎,且與Windows相容,但目前市面上並不多見 開放原始碼的Linux(開放架構) 系統較穩定、靈敏且成本低廉、開發彈性高
PDA擁有比例及潛在客戶選擇比例 資料來源:CCID;工研院經資中心IT IS計劃整理,2001/11
PDA用途 1、日曆/日程表 2、與電腦同步程式簡單快捷 3、超長電池續航力 4、電子郵件/短信發送 5、Wi-Fi/藍芽 6、機身輕便小巧 7、MP3播放 8、電話 9、大螢幕 10、GPS導航 11、數碼攝像頭
一般使用方式 • 1.電子記事 (記事薄) • 2.電子地圖 (地圖) • 3.聽歌 (MP3 PLAYER) • 4.電影(DVD PLAYER) • 5.打字 (手寫 / 打字機) • 6.電子計算機 (計算機) • 7.錄音功能 (錄音機) • 8.鬧鐘功能 (鬧鐘) • 9.上網 (PC) • 10.遊戲 (NDS/PSP) • 13.電子書、報刊、雜誌 (印刷的書、報刊、雜誌) • 14.電子發聲字典 (傳統字典) • 15.電子相簿 (傳統相薄)
電子商務 • 整合條碼 • 行動辦公 • 快速點餐
警方運用 • 警用PDA小神捕(失竊汽機車資料、失蹤人口身分證號、治安人口身分證號 ) VS Pocket PC • 使用方便性(one hand vs two hands) • 資料庫擴充 • 系統更新 • 傳遞群組訊息 • 衛星導航 • 即時連線
文字 圖片 影像 聲音 E-mail 駭客入侵 資料外洩 群組訊息誤導 網路詐欺 數位證據及可能犯罪問題
PDA seizure • PDA Seizure 可以從Pocket PC或Palm OS平台中獲取資訊。PDA Seizure 允許稽查人員通過USB或連續的聯結連接至裝置上,稽查人員必須具備正確的傳輸線和備用電池以確保其與同步軟體的連通性和兼容性。同步軟體允許稽查人員在PC/notebook與device/PDA之間建立調查的合作關係 • 透過PDA seizure幫助下可完成Windows CE裝置的資料獲取。在ActiveSync連接期間,稽查人員建立一個"客體"作為與設備的連接,客體帳戶基本上是為了禁止PC與裝置在鑑識過程開始之前的任何同步連接。在資料開始收集之前,PDA seizure會先建立一個4k的CE Seizure.dll程式文件再記憶體的第一區塊,而在資料收集結束之後會自動刪除。PDA Seizure使用.dll存取設備中記憶體未分配的區域 • 為了存取剩餘的資訊,PDA Seizure運用遠端API(Remote API)在Windows CE上為桌面應用提供一套作為通信和存取資訊的平台,一旦透過ActiveSync連接上Windows CE裝置,RAPI可利用的功能如下: • 裝置系統資訊內涵版本、記憶體(總計、已使用、可利用)、電力狀態文件和目錄管理 • 檔案恢復路徑資訊,具體文件、許可、創作時間等 • 從目前登入可允許操作中搜集屬性資料庫資訊(即金鑰與相關價值)
蒐集階段(Acquisition Stage ) • 透過工具欄或透過工具菜單選擇記憶圖像,兩選項皆可開始資料蒐集過程,資料蒐集過程,檔案和記憶圖項均可獲取並使用工具標記,一旦資料蒐集被選取,會出現引導圖 Acquisition Wizard
PDA Seizure在Pocket PC(PPC)裝置獲取資料期間,顯示介面提供的各種領域 Acquisition Screen Shot (PPC)
搜尋功能(Search Functionality ) PDA Seizure的搜尋功能允許稽查人員查詢檔案內容 File Content String Search (PPC)
搜尋視窗另外提供與記憶輸出有關的字串搜尋,可透過記憶體部分及標示資訊使用在法庭的、紀錄的或其他程序的報告上搜尋視窗另外提供與記憶輸出有關的字串搜尋,可透過記憶體部分及標示資訊使用在法庭的、紀錄的或其他程序的報告上 Memory Content String Search (PPC)
圖表庫(Graphics Library ) 審查目前設備中由檔案附件辨識的圖形檔的收集。被刪除的圖形檔不會出現在此。圖形庫包括辨認圖形文件根據文件署名(即檔案標頭和footer value)相對文件附本。手工進行文件署名證明非常費時,也可能導致關鍵資料被省略。若被刪除的圖形檔仍存在,他們必須藉由字串查詢記憶視窗來辨認。但是,要補救整個圖像是很困難的,因為它的內容也許被檔案系統壓縮或不能存在連續記憶單元,且一些部分是不可被恢復的,需要資料結構的知識才能成功編結零件。 Graphics Library (PPC)
標記書籤(Bookmarking ) 可標記與調查相關的項目提供鑑識稽查人員在偵查期間做出適當格式下的案件具體報告的方法。標記可加在被發現的多種資訊中以及需要時匯出的各個單獨檔案做進一步的分析。 Bookmark Creation (PPC)
其他工具(Additional Tools ) • 匯出所有檔案 • 在資料蒐集後匯出被報告的檔案。匯出檔案後,根據檔案名創造檔案夾和兩個子檔案夾:RAM和ROM。內容取決於文件類型可能以一種桌面應用或設備具體仿真器觀看。 • PDA檔案比較:PDA Seizure有內建檔案比較功能。操作特點為當一個檔案被載入透過工具選項與其他檔案作比較。檔案根據hash code做比較,其結果顯示列出各PDA檔案檔案名、比較結果和文件大小在對話框中。
閱讀PDA Seizure檔案 未被刪除的文件可使用text或hex或使用“Run File’s Application”功能觀看 File View (Palm OS)
產生報告(Report Generation ) 報告是鑑識的一項根本任務,PDA Seizure提供使用者介面以產生報告讓稽查人員進入且組織案件具體資訊的報表生成。各個案件包含識別號碼和其他報告目的的具體資訊,當報告產生,亦會產生一個Html檔案,包含被標記檔案、被蒐集的總檔案、蒐集時間、設備資訊等,辨識是否檔案在資料蒐集期間被修改過。 Report Generation
雜誌架構 • PDA簡介 • PDA可能產生的犯罪問題 • PDA可能存在的數位證據 • 案例 • 結語
問題與檢討 • 案例 • 實驗室PDA(系統、鑑識工具、文獻)
參考資料 • PDA Forensic Tools: An Overview and Analysis • Rick Ayers Wayne Jansen Computer Security Division Information Technology Laboratory National Institute of Standards and TechnologyGaithersburg, MD 20988-8930 August 2004 • PDA數位鑑識-使用Device Seizure軟體_731218林芳如
