淡江大學覺生紀念圖書館 (TKU Library)
進階搜尋


下載電子全文限經由淡江IP使用) 
系統識別號 U0002-1806200810032000
中文論文名稱 採用LiveCD改善電腦蒐證品質與效率之研究
英文論文名稱 The Study of Using LiveCD to Improve the Quality and Efficiency on Collecting Computer Evidence.
校院名稱 淡江大學
系所名稱(中) 資訊管理學系碩士班
系所名稱(英) Department of Information Management
學年度 96
學期 2
出版年 97
研究生中文姓名 林育地
研究生英文姓名 Yu-Ti Lin
學號 694521518
學位類別 碩士
語文別 中文
口試日期 2008-05-24
論文頁數 56頁
口試委員 指導教授-梁德昭
委員-楊欣哲
委員-陳志成
委員-黃明達
中文關鍵字 電腦鑑識  數位證據  蒐證程序 
英文關鍵字 Computer Forensics  Digital Evidence  Investigation Procedure 
學科別分類 學科別社會科學管理學
學科別社會科學資訊科學
中文摘要 在犯罪的第一現場進行電腦蒐証,常受限於蒐查人員的知識不足、蒐證時間有限、蒐證的設備不足等,在蒐證中也無法有效地控管蒐證的品質,無法有效地掌握物證。
為了改善電腦蒐證的品質與效率,本研究以蒐證程序之需求作為準則,進行改善電腦蒐證的方法。這些準則分別是:在蒐證前根據案情作充分的準備;在蒐證中維持證據的完整性;而蒐證後有系統地管理證據。經過與傳統的兩種蒐證方式比較過後,本研究提出以LiveCD對目標主機進行採証,以維持電腦蒐證的品質與增加電腦蒐證的效率。本研究將光碟製作的方法模組化,分別修改開機模組、系統核心模組、介面模組以及外加工具模組,做成為專為個人電腦數位證據蒐證用之雛形蒐証工具,提供未來研究者與檢調單位能製作出更符合自身需求的蒐證光碟。
此蒐證光碟能提供適當的工具以配合蒐證程序使用。其中,使用的工具分類為系統類、鑑別類、萃取類以及設定類;系統類工具可將不同格式的檔案系統掛載至蒐證系統,鑑別類工具可用來瀏覽不同格式的檔案,以識別出與案情相關之電腦主機,萃取類工具可用來製作數位證據副本並進行數位鉛封。全程蒐證的過程與結果也將被書面化予以記錄,經偵辦人員及當事人簽署後完成蒐證程序。
英文摘要 The quality of computer evidence collection in a crime scene is very restricted to the professional knowledge of agents, investigation time limit, proper equipment usage, etc. This cause the effectiveness and efficiency of computer evidence collection are hardly controlled.
This thesis, following the procedure of crime scene evidence, provides a computer evidence collection method to improve the effectiveness and efficiency of evidence collection.. As a result of contrasting with two of traditional methods, using a LiveCD to acquisition of evidence from the marked computer is proposed and the effectiveness (quality) and efficiency of computer evidence collection is then be improved. Boot module, System Kernel module, Interface module and Extra Tool module are the 4 main modules in the Live CD development. It is only a prototype demonstration and rooms are leaved to those who want to do needed modification to adequate their situation.
Applicable tools are also provided to cooperate with investigation procedure. They are categorized as Operation System Tools, Identification Tools, Extraction Tools and Configuration Tools. Operation System Tools is used to mount various file system types of the target platform being evidenced. Identification Tools can browse various file formats for helping investigator to identify the target machine. Extraction Tools is used to make the copy of digital evidence and proceeds "Digital Seal". The whole course and result of collecting evidence shall also be put down in written. After investigator and the whatever persons related have their signature on the written document, the whole evidence collection phase is the completed.
論文目次 目錄
第一章 前言………………………………………………….………..1
第1節 研究動機與目的……………………………..….……….2
第2節 研究架構……………………………………….………...4
第3節 研究範圍與限制……………………………….………...6
第4節 論文架構……………………………………….………...7
第二章 相關研究…………………………………………….………10
第1節 電腦鑑識……………………………………….……….10
第2節 數位證據……………………………………….……….14
第3節 蒐證程序……………………………………….……….15
第三章 改善電腦蒐證品質與效率…………………………….……19
第1節 蒐證程序需求………………………………….……….19
第2節 LiveCD應用於電腦蒐證……………………….……...21
第3節 電腦蒐證方法比較……………………………………..24
第4節 基於Windows系統的蒐證光碟……………………...32
第5節 蒐證光碟之開發………………………………………..36
第6節 光碟內嵌之工具………………………………………..38
第四章 系統操作…………………………………………………….42
第1節 操作環境………………………………………………..42
第2節 案例探討………………………………………………..43
第3節 執行蒐證任務…………………………………………..43
第5章 結論與建議 ………………………………………………….53
參考文獻……………………………………………………………...54

表目錄
表1 蒐證方法之比較…………………………………………………28
表2 蒐證光碟之比較…………………………………………………35
表3 保存類工具………………………………………………………38
表4 鑑別類工具………………………………………………………39
表5 映像檔製作工具的比較…………………………………………40
表6 萃取類工具………………………………………………………40
表7 設定類工具………………………………………………………41

圖目錄
圖1 研究架構………………………………………………………..…5
圖2 蒐證光碟於鑑識程序…………………………………………….33
圖3 蒐證光碟開發的流程…………………………………………….37
圖4 使用蒐證光碟之蒐存流程……………………………………….44
圖5 開機選單調整 ……………………………………………………46
圖6 系統登入畫面…………………………………………………….46
圖7 系統掛載之檔案系統列表…………………………………….…47
圖8 掛載EXT檔案系統………………………………………………48
圖9 瀏覽EXT檔案系統內文件 ……………………………………...49
圖10 粹取EXT檔案系統內文件……………………………………..49
圖11 選擇映像檔製作目標硬碟………………………………………50
圖12 計算訊息確認碼…………………………………………………51
參考文獻 [1] 王旭正、柯宏叡、ICCL-資訊密碼暨建構實驗室,資訊與網路安全:秘密通訊與數位鑑識新技法,博碩,2006
[2] 王旭正、柯宏叡、楊誠育,網站入侵安全的證據存留鑑識探討,中華民國資訊安全協會(CCISA),2002
[3] 梁德昭、林子涵,數位勘查模式之芻議,淡江大學資訊管理研究所,2005
[4] 陳志誠、蔡旻峰,電腦犯罪案件偵查中數位證據蒐證、鑑識之建議標準作業程序,中央警察大學資訊管理研究所,2004
[5] 楊中皇、許文隆,基於Sleuthkit與Autopsy的中文化電腦鑑識Live CD設計與實現,高雄師範大學資訊教育研究所,2005
[6] 鄭進興、林敬皇,基植於 Linux 系統的數位鑑識工具之研究,樹德科技大學資訊管理研究所,2004
[7] 鄭進興、吳豐乾,基植於 Windows 系統的電腦鑑識工具之研究,樹德科技大學資訊管理研究所,2004
[8] 謝法安,行動Linux:KNOPPIX改造手冊,上奇,2003
[9] Nicole Beebe, and Jan Clark, “A hierarchical, objectives-based framework for the digital investigations process,” Digital Investigation, Vol. 2, June 2005, pp.147-167
[10] Brian Carrier, and Eugene Spafford, “Getting Physical with the Digital Investigation Process,” International Journal of Digital Evidence, Issue 2, Vol. 2, Fall 2003
[11] Eoghan Casey, Digital Evidence and Computer Crime, Academic Press, 2000
[12] Eoghan Casey, Digital Evidence and Computer Crime Second Edition, Academic Press, 2004
[13] Séamus Ó Ciardhuáin, “An Extended Model of Cybercrime Investigations,” International Journal of Digital Evidence, Issue 1, Vol. 3, Summer 2004
[14] Matthew Gerbera, and John Leeson, “Formalization of computer input and output - the Hadley model,” Digital Investigation, Vol. 1, September 2004, pp.214-224
[15] Chester Maciag (editor), DFRWS 2004 Workshop Report and Findings, March 2006
[16] Gary Palmer (editor), A Road Map for Digital Forensic Research: Report from the First Digital Forensic Workshop, August 2001
[17] Lei Pan, and Lynn M Batten, “Reproducibility of Digital Evidence in Forensic Investigations,” Proc. of 5th Annual Digital Forensic Research Workshop, LA., U.S.A., August 2005
[18] Klye Rankin, Knoppix hacks : 100 industrial-strength tips & tools,OREILLY,2005
[19] Mark Reith, Clint Carr, and Gregg Gunsch, “An Examination of Digital Forensic Models,” International Journal of Digital Evidence, Issue 3, Vol. 1, Fall 2002
[20] Robert Rowlingson, “A Ten Step Process for Forensic Readiness,” International Journal of Digital Evidence, Issue 3, Vol. 2, Winter 2004
論文使用權限
  • 同意紙本無償授權給館內讀者為學術之目的重製使用,於2011-06-18公開。
  • 同意授權瀏覽/列印電子全文服務,於2011-06-18起公開。


  • 若您有任何疑問,請與我們聯絡!
    圖書館: 請來電 (02)2621-5656 轉 2281 或 來信