Encase,FTK几种计算机取证工具的比较

數位鑑識工具之比較
--以Encase 5.0、FTK 1.6及Helix 1.8工具鑑識職業駭客專門替人植入木馬破解密碼入侵案件為例
林宜隆1、歐啟銘2
1中央警察大學資訊管理學系 教授
2中央警察大學資訊管理學系 研究生
摘 要
網際網路的迅速發展之下，為我們帶來了許多便利，許多生活上所需要的東西都可以從網路上取得，例如：網路購物、網路轉帳等…但隨著這些便利的網路應用，也使得一些人利用這些便利做一些非法的應用。

許多案例是員工監守自盜，將客戶的個人資料賣給詐騙集團，也有些因為公司或機關保護客戶個人資料不夠周全，讓駭客透過網路或是其他方式，竊取客戶個人資料。

被駭客入侵後，如何取得駭客再受害者電腦做了什麼事，以及駭客從何而來，並且將這些證據可以作為法庭上證據，證明自己被攻擊，以及透過這些證據抓到攻擊者，也是非常重要的。

本研究採用國內、外執法機關使用的Encas e、FTK及Helix，作為研究的主要鑑識工具，並比較相關數位鑑識工具，使用框架理論分析真實案例，透過案例驗證數位證據處理原則及工具的完整性、一致性、正確性。

關鍵詞：網路犯罪、數位鑑識、駭客入侵
A comparative study on cyber Forensic tools - with Encase 5.0, FTK1.6 and Helix 1.8 tool Forensic professional hacker plant for people into trojan horse and explain password invade the
case for the example
Lin I-Long 1、Ou Chi Ming2*
1，2 Department of Information Management
Center Police University
ABSTRACT
The constant development of the computers and the internet has resulted in more and more real life uses and applications. Examples are embanks, network auctions, web-cams and the internet phone. However, many internet crimes and problems also spawned along the side.
One of the most common cases are the employees themselves embezzle its own company's personal information and to sell them to a fraud organization. In other cases, some companies or an organization simply doesn’t have the technical capability to protect their client's information away from the hackers.
It is crucial to keep detailed information on the possible origin of the hacker and the specific damages the hacker had caused. These will become extremely vital evidences on the court. They may also be used to help arrest the attacker.
The research use the cyber forensic tools which the most bureau of investigation use. We focus on the cyber forensic tools Encas e、FT K、Helix and compare them . We identify the completeness, integrity and correctness of tools and procedure by case.
Keywords：cybercrime、cyber forensic、Trojan Horse
1.前言
1.1研究動機
隨著資訊科技的發展，網際網路已經成為人類生活、工作上不可缺少的一部分，使用者增多，各種更多的應用在網路上發展，帶給人們更多的便利，但是也帶來許多網路上的犯罪，例如：病毒攻擊、詐欺、恐嚇、毀謗、軍火販賣、色情。

電腦病毒和惡意木馬程式氾濫、網路詐欺(Phishing)、駭客攻擊(如大陸駭客攻擊事件，蘇姓駭客攻擊大考中心事件)的性質已經和幾年前大不相同，不再以單純攻擊為目的，而是逐漸走向“營利＂。

我們如何面對如大陸駭客大戰、木馬後門程式猖獗的網路環境，從事前的防護與偵測、事中的追蹤與紀錄、事後的復原與追查等角度探討有關此類資通安全的議題也相形重要。

這些犯罪，有的技術性高不易抓到嫌犯，有的技術性低容易抓到，但都存在一個問題，找到該嫌犯之後，如何藉由專業電腦鑑識人員，證明證據是來自原本的證物，且沒有被修改過，證物在分析時沒有被破壞，以達到證據是有證據力，如何去定他的罪，這就仰賴電腦鑑識人員，利用鑑識工具及標準程序，去蒐集相關證據，並且交給法官審查。

1.2研究目的
數位證據的四個特性：
(1) 容易複製
(2) 能無痕跡的修改
(3) 不易證實其來源及製作人難以確定
(4) 非屬人類可直接感知、理解的內容。

為了克服數位證據的幾個特性，必須遵守數位鑑識的一些標準程序，證明證據事來自原本的證物，且沒有被修改過，證物在鑑識時沒有被破壞，以達到證據是有證據力的，可以被法官採信的，本研究採用在法庭上具有相當高的接受度，以及大多數數位鑑識專家推薦，美國FBI鑑識實驗室所採用的Encase、FTK及Heilx這三套數位鑑識軟體，來作為實驗的鑑識工具。

1.數位鑑識工具與案例分析
2.1 鑑識工具Encase、FTK及Heilx介紹
Encase為Guidance software(/)這家公司所推出，Guidance software本身也提供了許多認證課程，供數位鑑識人員來學習，EnCase在法庭上具有相當高的接受度，已累積不少個案歷史。

它支援不同類型作業系統證據擷取、檔案系統、儲存媒體，甚至是在運行中的系統進行鑑識。

Encase軟體被美國知名資訊安全雜誌{SC Magazine}評鑑為五顆星，最新改版的Encase企業版，可協助企業安全並徹底進行內部調查，為目前應用最廣，最多數位鑑識單位所採用的整合性數位鑑識軟體，例如：美國FBI鑑識實驗室採用Encase作為其作數位鑑識的工具。

AccessData 的Forensic Tool Kit (FTK)( /)是UTK中
最主要的工具，已經逐漸為執法人員與民間企業所接受，其處理電子郵件證據功能可以說是相當優秀，尤其是電子郵件已經逐漸成為電腦犯罪 判決的關鍵證物，FTK可以迅速地從磁碟影像中過濾出所有的電子郵件，擷取出郵件中所包含影像檔以及可供檢索的資訊，這是鑑識工具中首屈一指的分析功能。

同時，FTK也可以產生一份圖文並茂的完整鑑識報告。

e-fense()這家公司主要從事數位鑑識、電腦安全，以及相關的訓練，Helix是他們發展整合Knoppix套件的一套鑑識工具，數位鑑識和事件回報的，開放原始碼的Live-Linux光碟套件，e-fense也定期更新維護，有免費版的軟體提供在網路上讓大家下載，支援windows以及Unix like系統的相關鑑識，是一個live cd，也可以直接在電腦執行，也可針對運行中或已關機的系統進行分析，因為它是Linux平台的產物，當然支援Ext2/Ext3的檔案系統，以及支援一些比較少見的ReiserFS、JFS與XFS檔案系統。

Helix最大的特點在於，如果透過它的光碟開機，Helix不會掛載任何硬碟上面的分割區，而且是以唯讀模式開啟硬碟上的資訊，Helix不會動到swap space也就是說可以確保不會改變証據現場。

2.2使用框架理論分析職業駭客專門替人植入木馬破解密碼入侵案件
透過框架理論分析，將此案例以結構化方式的呈現(林宜隆，2001)，將此案例重要的資訊，能讓人容易去了解，並容易分析其重要的資訊，如表1。

表1 框架理論分析
犯罪時間民國95年12月24日起
犯罪地點高雄縣
犯罪事實 1.嫌疑人洪○顗於網路上找尋有需求之網友（如：懷疑另一半
劈腿、分手之男女朋友或藉用得來之秘密進行勒贖恐嚇等），提
供破解密碼服務。

經破解方式係將木馬程式以圖片檔、文件檔
或螢幕保護程式檔包裹，使被害人執行後，電腦即遭駭客入侵，
側錄所有電磁紀錄；委託人藉由該木馬亦可以輕易窺看對方之
電子郵件、msn、Yahoo即時通等電磁記錄，由此賺取高額利益。

犯罪者剖析 1.嫌犯利用人欲探刺他人內心世界的人性弱點，在網路言版上
張貼多篇以『帳號密碼破解服務諮詢』為標題，稱其能遠端監
控、破解msn、即時通、email及提供遠端監控管理教學等服務
的留言，販售給感情生變的男女使用。

2.嫌犯雖為任職於某上市公司工程師，但所使用的木馬程式仍
是向大陸駭客購買木馬程式，再轉賣教授其他有需要的網友，
其行為僅能稱作工具小子Tools Kiddies（使用自動化工具入
侵資訊系統的人）仍未達怪客Cracker（自行撰寫程式、惡意
侵入或破壞系統的人，且常會破壞重要的資料並引發系統的問
題）。

損害 1.造成被害人電子郵件、msn、Yahoo 即時通等電磁記錄隱私的
外洩，部份私密資料可能籍此外流，造成被害人身心重大創傷。

2.由於尚未有明確的跡證顯示使用於商業用途（進行商業間諜
竊取重大商業機密）的行為，因此尚無商業損失的跡象。

起訴移送 1.妨害秘密罪依刑法315條。

2.竊取他人電磁紀錄依刑法359條。

3.無故侵入他人電腦依刑法第358條。

犯罪流程 1.向大陸駭客購入駭客工具光碟
2.購買人頭戶，提供買主匯款
3.上網留言招攬想要窺探被害者隱私的購買者
4.買主匯款至嫌犯購買的人頭戶中
4.進行各種程式密碼破解，盜取個人資料等。

偵查流程 1. 偵九隊幹員執行網路巡邏
2. 發現某一留言版上張貼多篇駭客相關留言
3. 幹員佯裝網友與其攀談，確認確實從事收
4. 追查該相關帳號
5. 查出該名署名Greek 之駭客，確有入侵多名網友電腦及帳號
之紀錄
6. 聲請搜索票搜索拘提
查獲贓證物 電腦設備及週邊設備1組、木馬程式光碟等不法贓證物
偵辦單位
刑事警察局偵九隊。

3.鑑識流程及過程模擬
3.1鑑識流程
以Eoghan Casey 的數位證據指導原則為：
一、 數位證據辨識 二、數位證物之保存與記載
三、 證據之分類、比對、個化 四、犯罪重建
依據上述的指導原則，本研究鑑識流程如圖1。

圖1 本研究鑑識流程
3.2鑑識過程
將作成嫌犯電腦的image 檔，下面將使用兩套鑑識軟體Encase 及FTK ，分別對該檔案作鑑識工作，以下是使用該兩套軟體的鑑識過程。

使用Encase 做鑑識：
將可疑檔案以Encase 做鑑識，打開encase 後，對擷取之嫌犯電腦映像檔鑑識。

如圖2 。

對嫌犯的電腦磁碟狀況做分析，並搜尋其相關有問題之檔案，如圖3。

對該映像檔，特定的資料夾做鑑識，並製作image 檔，並新建認為有嫌疑的資料夾，如圖
4。

產生該資料夾的鑑識報告，如圖5。

對該資料夾做
HASH 值，如圖6。

於搜尋磁碟時發現另一可疑檔案，該檔案與第一個檔案幾乎相同，唯一不同點在於檔案大小略有不同，懷疑此於嫌犯將木馬夾藏在圖片的圖片檔，如圖7。

對該資料夾做HASH 值，發現與原本資料夾(可疑檔1)，雖然大小相同，圖名稱一樣，但是hash 值不同，可以得之兩個檔案有不同處，所以對其進行交叉比對，及進行更深入鑑識，發現其裡面藏有木馬程式，與網路上散佈之木馬相同，如圖8。

圖2 擷取之嫌犯電腦映像檔
圖3 電腦磁碟狀況做分析
圖4 特定的資料夾做鑑識
圖5 鑑識報告
圖6 做HASH
圖7 懷疑此於嫌犯將木馬夾藏在圖片
圖8發現其裡面藏有木馬程式
使用FTK 作鑑識工作：
將可疑檔案以FTK 做鑑識，打開FTK 後，對以擷取之嫌犯電腦映像檔鑑識，輸入鑑識檔案的編號，以及鑑識人員姓名，並做搜尋，搜尋後發現，該數位證據資料夾有重大嫌疑，並繼續進行相關檢索、處理，如圖9。

點選有嫌疑之檔案，並瀏覽該檔案，如圖10。

對該資料夾做搜尋，看是否有嫌疑之檔案，搜尋所用關鍵字為ec ，發現找到該資料夾，裡面十個檔案裡都有相關證據，上圖為搜尋之結果，如圖11。

該十個檔案之hash 值，如圖12。

由嫌犯電腦理發現有另一組圖片，認為可疑，進行交叉比對,將該圖檔作hash ，並
與原本的圖檔作比對，如圖13。

對這批檔案作HASH，比較第一張圖與原本圖的MD5 Hash 值，發現不一樣，認為有可疑，所以進行更深入鑑識，發現其裡面藏有木馬程式，與網路上散佈之木馬相同，如圖14。

圖9 擷取之嫌犯電腦映像檔鑑識圖10 瀏覽該檔案
圖11 對該資料夾做搜尋圖12 hash值
圖13 交叉比對圖14 進行更深入鑑識
使用Helix對木馬程式色情圖片大量側錄帳號密碼案嫌犯映像檔作鑑識工作：將可疑檔案以Helix做鑑識，打開Helix後，對以擷取之嫌犯電腦映像檔鑑識，先查看嫌犯系統相關資訊，硬碟大小、網路狀態如圖15。

蒐集嫌犯記憶體(ram)的證據，察看記憶體裡面的內容，是否有值得注意的證據，如圖16。

Windows Forensic Toolchest (WFT)所產生的鑑識報告，包含系統開始的時間，記憶體的dump值dd，檔案的時間戳記，包含最後存取時間，最後段的時間，最後修改的時間，
以及系統及網路的一些資訊。

有哪些Process 執行，以及一些process 的相關資訊，和驅動程式，網路的資訊，如：本機網路狀態、arp 、route 的狀態如圖17。

使用Helix 裡面的Pc Inspector 工具，復原被刪除的檔案。

找到嫌犯電腦裡刪除的檔案，並且將他復原，找到一個名為木馬圖片的檔案資料夾如圖18。

尋找嫌犯cookie 的資訊，尋找嫌犯上網的資訊如圖19。

尋找嫌犯的registry key ，查看嫌犯的登錄檔如圖20。

使用Helix 的密碼觀看工具，可以把原本是***號的密碼顯示出來，尋找嫌犯ftp 帳號以及相關信箱帳號密碼，找尋嫌犯是否使用ftp 上傳圖片，或是使用信箱與受害網友連絡。

使用Helix 的msn 密碼工具，只顯示出帳號，沒有得到密碼如圖21。

觀看嫌犯上網所下的關鍵字，以及帳號密碼，並且由這些找尋嫌犯，上網po 夾藏木馬程式的圖片的線索如圖22。

搜尋嫌犯電腦，關鍵字為ec ，尋找到了兩個資料夾，發現裡面有多張圖片，與被害者，在網路上下載的圖片相同， 經過比對嫌犯上網po 圖的時間，與網路上夾藏木馬圖片被po 上網的時間相同，且搜查嫌犯電子信箱，發現嫌犯有與網拍受害者的一些詐騙資訊，所以找到嫌犯作案的證據，並且結合其它相關實體證據，確定為嫌犯所做如圖23。

圖15 查看嫌犯系統相關資訊，硬碟大小、網
路狀態
圖16 蒐集嫌犯記憶體(ram)的證據
圖17 WFT 所產生的鑑識報告
圖18 復原嫌犯電腦裡刪除的檔案，找到一名
為木馬圖片的檔案資料夾
圖19：尋找嫌犯cookie的資訊，尋找嫌犯上
網的資訊
圖20：尋找嫌犯的registry key，查看嫌犯的登
錄檔
圖21：使用Helix的msn密碼工具，只顯示
出帳號，沒有得到密碼
圖22：觀看嫌犯上網所下的關鍵字，以及帳號
密碼
圖23：搜尋嫌犯電腦，關鍵字為ec，尋找到
了兩個資料夾
Encase做鑑識所得之相關證據：
A.嫌犯硬碟相關資訊，何時對硬碟存取。

B.由Encase對該木馬資料夾的報告得出，該資料夾所位於硬碟磁區位置。

C.透過hash值的不同，找到木馬程式。

FTK做鑑識所得之相關證據：
A.透過搜尋功能，找到可疑圖片。

B.透過hash值的不同，找到木馬程式。

Helix做鑑識所得之相關證據：
A.嫌犯的電腦資訊。

B.嫌犯網路的相關訊息，如本機網路設定、route、ARP等資料。

C.嫌犯Cookie的資料，以及上網紀錄。

D.嫌犯的一些上網的密碼，如信箱、msn、FTP等…。

表2. 三套軟體之比較
Encase5.0 FTK Helix
中文化介面有，且是繁體中文，
但翻譯的不是非常
好
有，但只有簡體中文沒有
操作介面如果沒有詳細閱讀
操作說明書，許多功
能不知道如何使
用。

例如他的搜尋功
能需要另外匯入。

較為容易操作。

簡單易上手。

類似網頁的
介面，每一個工具針對特
定鑑識功能。

檢查磁碟相關資訊可，以圖形化介面呈
現，關於該磁碟成經
做過的相關動作，皆
能清楚看到。

可，但是表達之介面，
沒有Encase5.0，來的清
楚。

可，但是表達之介面，沒
有Encase5.0，來的清楚。

證物的保
存，做映
像檔
有有有
證物比
對，產生
hash值
有MD5 有MD5 有MD5
證據呈現較佳，讓人較容易
看，如4.3 Encase的
鑑識報告。

一開始就經過，FTK分
類，讓鑑識工作者能暸
解目前要鑑識的電腦裡
有哪些不同檔案類型的
資料。

與Encase、FTK有不同的
證據呈現方式。

搜尋相關關鍵字可，但是必須另外匯
入關鍵字，操做上較
為不易，必須對
Encase有一定經驗
才會操作
可，且介面較為簡單，
容易操作搜尋動作。

有，但功能沒有Encase、
FTK強，例如：沒有特別
針對slack space的搜尋。

網站支援有有有
使用者瀏
覽過的網
頁、密碼
等相關鑑
識輔助小
程式
無無有、且操作簡單
取得的容易度價格昂貴價格昂貴自由軟體，任何人均可在
網路上下載
本研究認為最大的優點圖形化呈現硬碟資
訊的功能
證據的種類分類密碼破解軟體，及網路紀
錄瀏覽工具
本研究發現，在目前執法機關、數位鑑識專家、數位鑑識廠商，較常使用的Encase、FTK、Helix，這三套鑑識工具，各自擁有各自的鑑識特色，鑑識需要的功能也大都具備，只是各自擅長的鑑識特色不同，認為三套軟體可以交互使用，在不同鑑識階段使用不同工具，利用各工具再不同階段的優缺點，可以幫助鑑識工作者得到較佳的鑑識結果。

一、Encase圖形化呈現硬碟資訊的功能是本研究認為其最大的特色，也是三套鑑識
工具在硬碟資訊上表達的最好的一套，而且他在美國法院數位鑑識，也累積了
相當的案例，以及對他鑑識出來的結果，有一定的信賴。

但Encase的缺點是必須深入的瞭解、研究或是上過 Guidance software的相關與Encase相關的課程，才能將他所提供的功能發揮到極致，並且正確的解釋
他的意義，還有一個缺點就是，Encase的價格昂貴，一般數位鑑識研究者難以
負擔，必須是執法機關，或是規模較大，在數位鑑識方面有專門部門的公司，
才會以及有能力購買。

二、FTK的特色在於其資料庫式的資訊架構。

當一項磁碟或分割區的副本被匯入
時，FTK就針對這個檔案進行掃瞄與建立索引，產生一個案件資料庫。

鑑識人
員可以針對資料庫進行字串搜尋、重新排序或匯出在磁碟副本中的任何一個檔
案，而不需重新掃瞄整個磁碟副本。

本研究案例分析實做認為FTK最大的優點在於證據的種類分類，讓鑑識工作者很快就能知道數位鑑識目標有哪些種類的證據，缺點是必須深入的瞭解、
研究或是上過 FTK的課程，才能將他所提供的功能發揮到極致，並且正確的解
釋他的意義，還有一個缺點就是，FTK的價格昂貴，一般數位鑑識研究者難以
負擔，必須是執法機關，或是規模較大，在數位鑑識方面有專門部門的公司，
才會以及有能力購買。

三、第三套綜合性鑑識工具Helix，本研究認為這是一套非常適和一般數位鑑識研究
者使用的數位鑑識工具，他最大的優點在於免費，以及他提供了非常多的數位
鑑識小工具，例如網頁密碼察看，*密碼察看、rootkit搜尋，這些實用的小工具，
在本研究做數位鑑識工作時，讓我找到了許多有趣的發現。

缺點則是數位鑑識證據的分類較差，以及表現硬碟的呈現介面也沒有前面兩套軟體好，但本研究認為，Helix是一套不錯的綜合性數鑑識工具。

四、本研究認為三套軟體可以交互使用，三套鑑識軟體在不同鑑識階段各有各的擅
長功能，且有其特殊功能是其他鑑識軟體所沒有的，本研究列出三套軟體擅長
的鑑識功能，以及他們的優缺點，以利未來鑑識工作者，能有一指引平台，瞭
解工具在不同階段的優缺點，讓使用者可以交互使用這些工具。

參考文獻：
1.林宜隆、蔡宜縉、歐啟銘，數位工具之比較，第九屆「網際空間：資訊、法律與
社會」學術研究暨實務研討會論文集，2007。

2.林宜隆、陳蕾琪，數位證據初探，第三屆「網際空間：資訊、法律與社會」學術
研究暨實務研討會論文集，2001。

3.林宜隆，網際網路與犯罪問題之研究，2001。

4.林一德、陳志龍，電子數位資料於證據法上之研究，1999。

5.王朝煌，數位證物之鑑識與蒐證，警學叢刊第三十四卷。

6.曾煒鈞，網路犯罪偵查之蒐證、鑑識及反溯設計之研究，2003。

7.Eoghan Casey, Handbook of computer crime investigation, Acamedic Press, 2002.
8.資安人網站，資通安全鑑識實驗室建置要項—美國鑑識實驗室之現況
/feature/view.asp?fid=188。

9.Encase 使用手冊，及網站/。

10.FTK網站，/。

11.刑事局網站，.tw/news/news.aspx。

12.Helix網站，。

13.錢世傑、錢世豐、劉嘉明、張紹斌/著，電腦鑑識與企業安全，2004。

14.Eoghan Casey, Digital Evidence and Computer Crime Second
Edition,academic press 2004.
15.Eoghan Casey, Handbook of computer crime investigation,Acamedic Press,
2002.。