T4：重大資安全事件分析 資通安全分析專論 T94002

資訊時代資安事件：

數位媒介證據的來源、依據、判斷與說服力

王旭正1、高大宇1,2、吳忠哲1、江安展1

1. 中央警察大學資訊管理學系資訊密碼暨建構實驗室(ICCL) 2. 中央警察大學犯罪防治學研究所

摘要

隨著電腦／網路犯罪(Computer/Network Crime)問題日漸嚴重，面臨這新興的科技犯罪，個人／機關／團體有必要瞭解電腦／網路的資安犯罪事件發生時，立即從事標準

的作業程序，使所擷取的數位證據(Digital Evidence)資料的效力能在法庭上得到認可，是因應資訊時代資安事件發生時追蹤／起訴事件嫌疑者的重要判定佐證與保障正當資

訊媒介使用者權益的重要證據來源。 首先，在電腦／數位鑑識(Computer/Digital Forensics)工作開始之前，應對於各式鑑識工具有基本認識，包含磁碟備份軟體、檔案還原軟體、密碼破解工具及其他採證所需

要的工具。其次，由於數位資料相當脆弱，任何存取動作都可能改變其原始狀態。為確

保數位證據之證據力，在資料的保存方面應特別謹慎。第三，為從大量的資料中分析出

對於偵辦電腦／網路犯罪有用的數位證據，數位鑑識人員應熟知各種搜證的技巧及證據

資料可能藏匿的位置。利用採集到的證據還原犯罪發生的經過，並經由鑑識人員將數位

證據文件化，以利在法庭上的呈現。最後以 Botnet 資安事件為例，介紹新型態之電腦／網路犯罪手法及駭客如何利用受控制的電腦為跳板攻擊網路上其他電腦，為此本文說

明如何因應防制措施，以及遭遇攻擊時又該如何收集相關證物，並說明 Botnet 帶來之影響。 關鍵詞：數位證據(Digital Evidence)、電腦鑑識(Computer Forensics)、數位鑑識(Digital

Forensics)、電腦犯罪(Computer Crime)、網路犯罪(Network Crime)

一、前言

(1)傳統犯罪與傳統證據

傳統犯罪相對於現代犯罪而言，指非科技犯罪之犯罪型態，例如殺人、縱火、

汽機車竊盜等。在傳統犯罪下，傳統證據在法律上，包含人證、物證及書證。所

謂人證，包括被告、證人及鑑定人之陳述；物證即經合法調查，與犯罪事實相關

且為法院所採信之物品，例如沾有嫌犯指紋之兇刀或從嫌犯住處搜出之被害者所

1

T4：重大資安全事件分析 資通安全分析專論 T94002

有物等；書證是以書面資料為形式之證據，如鑑定人之鑑定報告書。證據之功能

在於提供正確案情分析研判、提供犯罪訊息、連結嫌犯與被害人及犯罪現場關

係、證明證言真實性、確定身分及證明嫌犯、提供偵查方向，以及確定犯罪事實

及確認刑責。傳統證據的概念形式如圖 1 所示。

圖 1 傳統證據 (DNA、兇刀、指紋、槍)

一般而言，在法庭上以物證較為關鍵，因為物證不如人證及書證，容易欺瞞

或偽造。經由正確的鑑定方法及程序使得物證透露出最真實的犯罪資訊。因此任

何案件中的任何一件物品都可能成為重要的物證，而導致破案的契機。物證在特

性上可分成下列幾種：

(i)短暫性：為時間性因素，僅短時間存在且容易變化或消失者。例如，氣味、

天氣狀況等。

(ii)狀態性：為事件或行為發生的產生因素，需即時觀察或記錄者，否則此

狀態將永久消失。例如，燈光的有無存在、第一現場的原始擺置等。

(iii)型態性：為事件發生的形式表現。例如，衣物摺痕、運輸工具的煞車胎

痕等。

(iv)移轉性：實質接觸的不同表面會相互交換表面上的微存量物質。一般的

表面接觸大致有下列的媒介方式：人與人、物與物，或人與物間之接觸。

2

T4：重大資安全事件分析 資通安全分析專論 T94002

例如，兩車擦撞時在擦撞處留下彼此的車漆。

(v)關聯性：在犯罪現場採到或偵查中查到的特定物品，都可能成為物證。並

藉此關聯性物證，以連結被害者或嫌犯在事發地點的相互連結關係。例

如，在犯罪現場找到嫌犯的指紋、在嫌犯住處找到被害者的飾品等。

(2)電腦／網路犯罪與數位證據

隨著科技發展，現代犯罪型態多以科技產品為工具，自從個人電腦及網際路

網開始普及，資安事件的犯罪行為也漸漸在電腦／網路上萌芽，電腦／網路犯罪

即是其中一種。所謂電腦／網路犯罪是以電腦設備、網路設備及其他週邊設備做

為犯罪工具之犯罪行為的統稱。其所衍生的不單純是電腦問題，包括詐欺、誹謗、

賭博、色情、侵犯著作權及竊盜等皆涵蓋其內。就媒介的使用上，新興科技的資

安事件犯罪型態大致分為兩個部分：電腦犯罪及網路犯罪。在電腦犯罪方面，例

如破解電腦系統的帳號密碼，入侵他人電腦，或者利用職務之便，盜取公司電腦

裡的重要資料等。在網路犯罪方面，泛指所有以網路為媒介進行犯罪的行為，例

如在網路上散播不當文字、圖片或進行恐嚇等行為。

相較於傳統犯罪，電腦／網路犯罪的偵辦在技術上更具難度，因為大部分與

案件相關的證據資料都是以電磁紀錄的方式，存在於電腦設備中，稱作數位證據

(Digital Evidence)，其具有下列特性：

(i)易於複製及修改：數位資料的狀態容易因存取而改變。能確保數位證據的

完整性才能保證數位證據在法庭上的證據力，因此證明所擷取的證據與

原始資料相同是很重要的關鍵。

(ii)不易個化：數位資料並不具指紋及 DNA(Deoxyribonucleic Acid，去氧核

醣核酸)的唯一性特質(可作為判斷獨立個體的依據)。分析數位資料僅能

知道嫌犯在某台電腦犯案，卻難以得知或證明嫌犯是誰。

(iii)無法直接被人類所理解：因為電磁紀錄為 1 與 0 的組合，人類需經由電

腦設備才能得知這些二進位的符號所代表的意義為何？因此提高了數位

證據在法庭上呈現的困難度。

3

T4：重大資安全事件分析 資通安全分析專論 T94002

(iv)取證不易：數位資料可能散佈在網路上，如同大海撈針，或經特殊手法，

使得關鍵性資料隱藏在電腦中，故取證相當不易。

數位證據的儲存媒介如圖 2 所示。由於數位證據的性質特殊，使得電腦／網

路犯罪案件在證據的採集、分析、保存，以及往後法庭上的呈現都比一般刑事案

件困難許多。藉此，瞭解電腦／網路犯罪的手段與正確的資料採證程序，是因應

資訊時代資安事件發生時追蹤／起訴犯罪嫌疑者的重要判定佐證與保障正當資

訊媒介使用者權益的重要證據來源。

圖 2 數位證據(手機、筆記型電腦、數位相機、電腦主機)

二、準備工作

對於不同的資安事件類型及行為，其鑑識技巧都不盡相同；所以掌握事件發

生的緣由及背景，對於資安事件的追蹤與證據收集有很大的幫助。

(1)鑑識工具

進行數位鑑識工作之前，為使過程順利進行，有些工具是不可或缺的。

(i)磁碟備份軟體：需具備位元串流(Bit-Stream)拷貝的功能，因為一般的複製

功能僅能複製檔案總管可以顯示的資料項，而位元串流拷貝卻能完整複

製硬碟的使用狀態，把曾經刪除資料的狀態也複製下來。

4

T4：重大資安全事件分析 資通安全分析專論 T94002

(ii)檔案還原軟體：可以將已刪除的資料從磁碟中還原。嫌犯為煙滅證據，

經常會把重要資料或犯罪工具從電腦中刪去，適當利用還原軟體便能將

這些檔案復原，從中找尋犯罪證據。

(iii)密碼破解工具：用來破解基本輸出入控制系統(Basic Input Output System,

BIOS)、作業系統管理員的密碼及以密碼保護的檔案的密碼等。為防止電

腦過多的保護措施阻礙了鑑識人員的重要資料蒐集，尤其當嫌犯將犯罪

資料以密碼保護的時候，利用密碼破解工具可使得鑑識工作的過程更順

利。

(iv)整合性工具：為使鑑識工作更有效率，有些軟體整合了多種數位鑑識需

要使用的功能，例如磁碟備份及還原刪除資料等。以確保資料完整性為

考量，提供了 HASH 的功能，並且具備自動處理鑑定資料產出鑑定文書

的功能。常見的整合性工具有 Encase 及 TCT (The Coroner’s Toolkit)等。

(2)其他工具

除了鑑識過程會使用到不少工具外，在犯罪現場的採證工作也需要各種工具

的協助，以下舉幾個例子作說明。

(i)筆記型電腦：由於數位資料無法直接被人們所辨識，隨身攜帶筆記型電腦

可以立即檢視大部分的數位資料，對於收集證據有很大的幫助。

(ii)儲存媒體：例如硬碟及隨身碟，主要用途是為了備份資料，收集相關證

據。

(iii)相機及攝影機：雖然數位資料才是我們採集證據的主要類別，但是對於

資安事件現場的環境、電腦主機的擺放及線路的連接也應詳加記錄，未

來將有助於重建事件現場。

(iv)筆、標籤及記事本：除了以攝影設備記錄資安事件現場外，也應該將蒐

證的過程及時間點以紙筆記錄。至於標籤可用在扣押大批電腦設備時，

將同一組主機螢幕及線路和插孔做記號。

三、證據保存

5

T4：重大資安全事件分析 資通安全分析專論 T94002

(1)數位證據鑑別

發生資安事件時，第一步應先辨別證據可能存在於何處，對於任何有存在犯

罪證據可能之電腦相關設備皆需仔細檢查，其類型包括：

(i)電腦本身：包括桌上型電腦、筆記型電腦；又可分為被害者的電腦及犯罪

嫌疑人的電腦。電腦裡的儲存媒體則包含了硬碟、隨機存取記憶體

(RAM)、快取記憶體(Cache)等。由於記憶體裡的資料容易隨著電腦電源

的關閉而流失，且需以特殊軟體才能進行資料備份，故在蒐證時應特別

注意。

(ii)可儲存數位資料之科技產品：數位相機、數位攝影機、個人數位助理

(PDA)、錄音筆、手機等。隨著科技不斷進步，手機已提升到具備拍照及

有聲錄影的功能，相信未來手機也將成為犯罪的利器。

(iii)不同格式之儲存媒體：數位相機之記憶卡、隨身碟、VCD/DVD 光碟及

軟碟等。

(iv)其他：硬體防火牆、印表機、手機通話紀錄、網路服務提供公司(Internet

Service Provider, ISP)之客戶連線紀錄、信用卡刷卡機上之刷卡紀錄等。

(2)數位證據保存

基於數位證據容易修改的特性，為確保原始資料之完整性，數位鑑識的工作

應該盡量在其他電腦上進行，故需事先將資料做備份。在進行備份時，應採用容

量足夠且事先經過格式化手續的硬碟，以免殘存在硬碟中的資料干擾採集到的資

料，而使資料之證據力受到質疑。為了能完整記錄硬碟內的使用狀態，必需採用

位元串流拷貝，並且至少備份兩份，一份做為鑑識人員檢查分析證據之用，另一

份則有兩個用途，第一可做為驗證用途，透過 HASH 的計算與結果輸出，以確

保鑑識人員檢驗的資料與原始資料相同。另外也可做為需要額外備份時的資料來

源，以免動用到原始資料，增加不必要的風險。而且在沒有確切證據之前，或者

在不影響嫌疑人公司正常營運的情況下，通常無法扣押電腦設備，所以採證的工

作最好能一次完成。

6

T4：重大資安全事件分析 資通安全分析專論 T94002

如果僅要採集部分資料，像是已經得知確切資安事件事實且也知道證據擺放

在電腦裡的何處時，我們就不必費時又費工地備份整個硬碟的內容，也可省去位

元串流拷貝的過程，只要以一般複製檔案方式製作兩件複本即可。除了採集存放

在電腦相關設備裡的數位資料外，對於資安事件現場各設備的擺放、不同的線路

所連接的硬體等也是採證的對象之一，應可利用相機將現場情況加以紀錄。如果

需要扣押現場電腦時，相機紀錄的動作就更顯得重要，並且要將同組的電腦主機

螢幕或印表機貼上標籤分類，各線路插在那個插座孔也應以標籤標記，這將有利

於現場的重建工作。硬體的搬運應小心謹慎，雖然主機有外殼的保護，但無意的

碰撞亦可能造成內部硬碟資料的毀損，導致無法挽回的過失。

對於任何收集到的證據都要嚴加管制，確保其安全性。在硬體方面，我們應

該將扣押的電腦設備集中保管，禁止無權存取的人員進入。在軟體部分，可採取

加密的手段保護我們得到的數位證據，避免遭他人修改。

四、數位證據調查

(1)證據的隱藏

經由位元串流備份得到的數位資料，其中隱藏了很多無法直接辨識的檔案內

容，像是遭到刪除的檔案、經加密的檔案及檔案剩餘空間(Slack Space)裡的資料

片段，以下將一一做說明。

(a)刪除的檔案：任何從電腦裡刪除的檔案其實都還存在磁碟上，只是電腦將這些

檔案貼上「刪除」的標籤，表示電腦允許其他檔案使用舊檔案所佔用的空間，所

以只要在舊檔案被覆蓋之前，我們都可以使用磁碟復原軟體將被刪除的檔案還

原。

(b)密碼保護的檔案：隨著資訊安全日益重要，一般人為了保護自己的檔案避免遭

他人存取，通常會以密碼保護這些資料，市面上也有不少軟體程式提供這樣的功

能。然而嫌犯也有可能以密碼來保護自己的犯罪文件資料，鑑識人員為了能順利

檢視所有資料，也以對應的工具破解受保護的檔案，再從中取得相關犯罪資料。

7

T4：重大資安全事件分析 資通安全分析專論 T94002

以下是我們經常使用且提供密碼保護功能的軟體或程式：

(i)壓縮檔：為方便攜帶各種文件檔案，以壓縮軟體將所有檔案合併成一個檔

案是相當便利的方式，通常為了保密，可在壓縮的同時輸入密碼，常見

的壓縮程式有 Win RAR 及 Win Zip，分別可使用 RAR Key 及 Zip Key 破

解壓縮密碼。

(ii)Microsoft Office：隨著微軟作業系統的普級，Office 軟體也廣為人們使用，

包括文字、會計、簡報資料等都可使用 Office 軟體處理。軟體本身即提

供輸入防寫密碼來保護文件，可使用 Office Key 破解 Office 軟體的密碼。

(iii)可攜式文件格式(Portable Document Format, PDF)：PDF 檔案與原始文件

內容完全一致，無論字體、影像、圖形等皆可獲得保存，並且能設定密

碼來保護文件，以避免未經授權的檢視和修改。可使用 Acrobat Key 破解

PDF 文件密碼。

(c)剩餘空間：檔案儲存在電腦裡所佔用的空間是以叢集(Cluster)為單位，叢集的

大小會隨著檔案系統的不同而有所不同。假設電腦裡叢集的大小為 4KB，現在使

用者存入一個 7KB 的文字檔，而這個檔案將佔據電腦裡兩個叢集，也就是 8KB

的大小，剩下沒有使用的 1KB 稱為檔案剩餘空間。由於一個叢集只能給一個檔

案使用的關係，所以檔案剩餘空間無法提供給其他檔案存放資料，當叢集上的資

料經過多次的儲存覆蓋後，剩餘空間裡會存在許多資料片段，其價值在於這些資

料的碎片可能含有具關鍵性的資料，即便資料內容可能不完整，但只要與事件事

實有些許關聯，也許就能成為掌握資安事件因果的關鍵。

(2)電腦搜索

隨著硬碟空間愈來愈大，即使嫌犯不以刪除資料或密碼保護的方式來隱瞞證

據，鑑識人員想在成千上萬的檔案中找到犯罪證據仍舊相當困難，幸好電腦裡有

特定的地方默默負責記錄著使用者的一舉一動，這些資料或許無法直接證明嫌犯

的不法行為，但至少讓事件的鑑識人員有跡可循。如下：

(i)網頁暫存檔：以 Windows XP 為例，我們以系統管理員「Administrator」

8

T4：重大資安全事件分析 資通安全分析專論 T94002

的身份登入，則在【 C:\Documents and Settings\Administrator\Local

Settings\Temporary Internet Files】這個路徑下存放了使用者瀏覽網頁的紀

錄，包含網頁上的圖片及文字等都會被電腦自動儲存在這個資料夾中。

(ii)連線紀錄：在 IE 瀏覽器視窗中選擇【檢視】【瀏覽器列】【紀錄】或者在

【C:\Documents and Settings\Administrator\Local Settings\History】路徑下

便能找到曾經連線的網址紀錄。

(iii)我的最愛：為了方便瀏覽網頁，使用者會將該網頁新增至此，通常是喜

歡的網頁或是經常需要瀏覽的網頁。可以在 IE 瀏覽器視窗中選擇【檢視】

【 瀏 覽 器 列 】【 我 的 最 愛 】 或 者 在 【 C:\Documents and

Settings\Administrator\Favorites】路徑下找到。

(iv)最近開啟的文件：我們可以在【開始】選單或者【C:\Documents and

Settings\Administrator\Recent】路徑下找到，這裡顯示使用者最近曾開啟

的文件及檔案。也許嫌犯會把具有關鍵性資料的檔案刪去，使得檔案本

身已無法直接在電腦上找到，但在這裡卻仍有該檔案的捷徑連結，鑑識

人員便可從檔名進行相關資安事件發生的前後關係聯想。

(v)即時通訊軟體：利用 ICQ 及 MSN Messenger 等軟體可在網路上進行即時

通訊，並提供檔案傳輸的功能。犯罪同夥除了以電腦相互聯絡外，也經

常使用類似軟體進行通訊，如能掌握彼此對話紀錄，相信對資安事件的

調查會有不少幫助。其預設會將對話內容及接收的檔案儲存在

【C:\Documents and Settings\Administrator\My Documents\我已接收的檔

案】路徑下。

(vi)搜尋功能：Windows 的內建搜尋功能可依檔名、資料夾名稱及內含文字

作搜尋，並提供如日期、類型及檔案大小等選項縮小搜尋範圍，提高作

業效率。例如，鑑識人員可搜尋近十天內曾被修改的.doc 檔案。

(vii)資源回收桶：由於嫌犯的疏忽或者對電腦使用上的不熟悉，可能誤以為

丟到資源回收桶的資料即已消失，於是讓鑑識人員發現資安事件調查的

重要關鍵。

9

T4：重大資安全事件分析 資通安全分析專論 T94002

(3)真假數位證據

經由鑑識人員的調查，我們可以確定資料來自於網路上某個 IP 位址或是來

自於某台電腦，但我們卻很難判別該筆資料是誰建立的。假設鑑識人員在電腦中

找到嫌犯利用網路散播惡意程式的證據，但嫌犯卻聲稱不知道該程式從何而來，

而且也不曾使用網路散播該程式，然而一般人一定不相信，因為這些證據皆取自

於嫌犯的硬碟中。不過，這樣的事卻很容易發生，由於數位證據個化不易，很有

可能是其他人透過網路或其他方式偷偷將檔案傳到嫌犯電腦中，甚至利用嫌犯的

電腦犯案，以下介紹幾個類似的例子。

(a)後門程式(Back Door)：由於使用者本身習慣不良，例如經常開啟來歷不明的電

子郵件或下載執行來歷不明的程式，容易使後門程式悄悄進駐電腦。也可能發生

在幫人裝電腦或是修電腦時，偷偷將後門程式植入。當電腦被植入後門程式後，

駭客便能在該電腦中新增、修改或刪除檔案，甚至利用該電腦當作跳板進行犯

罪，並且在事後刪除或修改記錄檔以湮滅證據。

(b)無線網路(Wireless Network)：無線網路愈來越流行，像咖啡廳、速食店或圖書

館都有提供無線上網的服務，但許多無線網路卻沒有安全防護措施，例如家用無

線網路通常都不會更改網路設備的預設帳號密碼，因此易造成駭客入侵及網路盜

用的情形發生。駭客會利用程式進行無線網路存取點的掃描，並以高功率無線網

路基地台蓋台，使得使用者連結到駭客所架設的基地台，駭客便能藉此入侵使用

者電腦並盜取所需資訊，甚至利用使用者的帳號密碼上網從事違法行為，屆時使

用者便可能因此而遭到逮捕。

(c)快取檔案 (Cache File)：瀏覽網頁時常常會有彈出的廣告視窗 (Popup Ad

Windows)，有時候這些視窗內容會包含色情圖片，就算立即將視窗關閉，這些圖

片因為電腦預設的關係，早已自動存入電腦中。當電腦中含有足夠類似的圖片

時，檢察官便能聲稱使用者有販賣意圖而持有猥褻圖片，屆時使用者將很難說服

律師及法官，為什麼這些圖片在電腦中。

(d)二手產品(Used Product)：購買二手電腦或二手硬碟時，這些設備裡面可能會

10

T4：重大資安全事件分析 資通安全分析專論 T94002

有前人留下來的檔案，然而這種情形也可能發生在「新」電腦上。當店家販售顧

客退還的產品時，無法保證裡面沒有留下任何檔案，萬一這些遺留下來的檔案是

駭客留下的惡意程式時，下一個購買的顧客便很有可能成為受害者，因為他無法

證明這些檔案來自前一個使用者。

五、資安事件現場重建

當鑑識人員蒐集到資安事件所有相關的犯罪證據時，應將數位證據與犯罪事

實作連結，並觀察各證據之間的關聯性，加入時間序列作輔助，模擬事件的發生

及各個步驟的順序。資安事件犯罪的發生是由犯罪嫌疑人、動機與目的、事件第

一時間、事件地點與作為手段等五個部分所組成，為還原資安事件原始現場，必

須先了解這五個部分。

(1) 犯罪嫌疑人：任何非法的犯罪事件都是由人類所主導。換句話說，犯罪人最

清楚犯罪發生的經過，如果能使其自行招認，對於犯罪現場的重建有最直接的幫

助。由於資安事件的電腦／網路犯罪屬高科技犯罪，因此犯罪人以年輕人居多，

身分可能是電腦玩家、離職員工或者是以利益為目的的商業間諜等。

(2)動機與目的：不同的犯罪動機會影響鑑識人員資料查覽的方向。錯誤的方向追

查，可能連帶延誤破案時機，因此動機的判斷是相當重要的。以下介紹幾種常見

的啟動資安事件的動機。

(i)展現自我能力：有許多電腦玩家為了測試自己的能力，會嘗試入侵他人電

腦或網站，最常見的就是入侵政府機關網站並置換其首頁。

(ii)好奇心使然：網路上流傳的許多駭客工具引起了大多數人的好奇心，因

為這些工具的使用方法相當簡單，通常不需要專業知識，便可輕鬆入侵

他人電腦。

(iii)報復：常見的是公司離職員工，可能會盜取公司資料或在網路上散播謠

言、出言恐嚇及誹謗等破壞商譽的行為。或者是情侶分手後在網路上以

惡意留言相互攻擊。

11

T4：重大資安全事件分析 資通安全分析專論 T94002

(iv)獲取利益：例如商業間諜竊取公司資料、線上遊戲玩家盜賣其他玩家的

虛擬寶物及貨幣、以網路釣魚(Phishing)手法騙取他人金融帳號密碼等。

(3) 事件第一時間：犯罪時間會直接影響到證據的串連及事件發生的排序，對於

資安事件所發生現場重建有極大的幫助。根據電腦上的 log 紀錄、檔案的建立修

改及存取日期、ISP 的用戶連線紀錄、無線網路 AP 的連線紀錄等，都是資安事

件發生第一時間來源的依據。

(4) 事件地點：資安事件的發生幾乎沒有固定的場所。嫌犯可以使用自家、公司

或網咖的電腦犯案，甚至以無線網路為媒介在公園、車上及速食店進行犯罪行

為，所以實際事件地點的追蹤有時需更多的關連資料才能確實定位事件的原始來

源。

(5) 作為手段：隨著網路資料的多元化，電腦／網路犯罪的手法也不斷翻新，增

加資安事件的調查與鑑識的困難度。但不同的資安事件都有其特定的運用模式，

舉例來說，網路釣魚詐欺存在一個與某金融機構網站相似的網頁，用以騙取用戶

的帳號密碼。因此可依此原則根據不同的操作手段在電腦設備中找到特定的數位

證據，以加速犯罪現場的重建。

六、證據呈現

由於數位證據是由 1 和 0 組成的電磁紀錄，具有無法直接被人們所理解的特

性，需經由電腦相關設備才能表達其意義，因此要把數位資料呈上法庭作證是一

大挑戰。唯一的辦法是將所有鑑識的過程及細節文件化，包括證據的蒐集、保存

及分析等，目的是使司法人員相信證據沒有遭到人工破壞及修改，以確保數位證

據具有證據力。

另外，由於法庭的法官具備專業法律專業外，並未有充裕的電腦專業知識，

對於電腦的運作原理並不熟悉。此時在法庭上呈現數位證據的專業人員面臨了另

一個挑戰，必需盡可能以最淺顯易懂的文字說明該證據是在什麼情形下產生，如

何直接或間接證明其與犯罪事實、犯罪時間或犯罪地點間的關聯性，最重要的是

12

T4：重大資安全事件分析 資通安全分析專論 T94002

能達到個化，繼而證明嫌犯的罪行。由於證據之證明力是由法官自由心證，因此

呈現數位證據的人員扮演了相當重要的角色，這攸關著數位證據證明力的強弱。

七、資安事件分析－Botnet

電腦及網路犯罪的話題雖然在近幾年才被炒熱，但早在幾十年前就已出現類

似的犯罪手法，以下針對各年代列舉出當時電腦／網路犯罪的型態。

(i)1970 年代

德雷珀(John Draper)發現玉米片盒中附贈的玩具哨子與 AT&T 電話網絡

的頻率相吻合，加上自製的「藍色盒子」便能盜打長途電話。

(ii)1980 年代

巴基斯坦(Pakistan)的兩兄弟為追蹤非法盜拷他們軟體的使用者，設計一

隻名為巴基斯坦大病毒(Pakistani Brain)的病毒，這也是第一隻電腦病毒的起

源，之後出現的耶路撒冷(Jerusalem)病毒會於固定時間(每逢受感染電腦上的

月日星期記數的當月第十三日且星期五)發作，並毀損受感染的檔案。此外也

出現類似駭客行為，米特尼克(Kevin Mitnick)因為進入數位設備公司(Digital

Equipment Company)的網路系統而被判入獄一年。

(iii)1990 年代

病毒的能力增強，具有摧毀硬碟的能力，並逃避偵測、不斷變形、隱藏

在記憶體中等。90 年代末期，新型病毒及特洛伊木馬程式蔓延，並以電子郵

件進行傳播，造成更重大的損失，例如梅莉莎病毒(Melissa)及其變種造成八

千萬美元以上的損失。駭客團體攻擊方式亦日新月異，除了入侵銀行網路系

統竊取帳號，並移轉金錢至個人帳戶，或竄改網站首頁等。

(iv)1990 年代後至今

傳統犯罪逐漸移植到網路上，使得網路犯罪趨向多樣化，例如網路色情、

網路詐欺、網路恐嚇、網路毀謗及買賣禁藥等。電腦病毒亦結合網路蠕蟲或

木馬程式，危害範圍遍及政府機關、公司企業及家庭用戶，造成損失不計其

數，近來更出現利用被植入特定程式的受害電腦進行更大規模且組織性攻擊

13

T4：重大資安全事件分析 資通安全分析專論 T94002

的資安事件。

(1)僵屍網路

以網路為媒介的網路資安事件層出不窮，近來網路駭客不僅在受害者電腦中

植入後門程式，甚至聚集受控制的電腦加以管理，組成虛擬網絡，稱為僵屍網路

(Botnet，或 Zombie Network)，受控制的電腦則稱為僵屍電腦(Zombie，或稱為

Bot)。當僵屍電腦中存在多個 Bot 程式時，該電腦也可能同時屬於多個僵屍網路，

即同時受控於兩個以上的駭客。

網路駭客慣用手法為將 Bot 程式或其他惡意程式(Malware)嵌入非法網頁、檔

案，例如色情網頁、軟體破解程式或色情影音檔。或者以電子郵件進行感染。駭

客會以引人注目的主旨吸引收件人執行郵件附加檔，且利用受控制的僵屍電腦發

送夾帶惡意程式的郵件給通訊錄裡其他聯絡人，以進行下一波感染，擴大僵屍網

路的規模，如圖 3 所示。

當受害者執行帶有惡意程式的檔案時，惡意程式會自動在受害電腦中植入

Bot 程式，使電腦成為僵屍電腦。一旦電腦連接網路，Bot 程式會透過 IRC 服務

加入特定 IRC 頻道(Channel)，自動向駭客的 IRC 伺服器回報，從此駭客便經由

IRC 服務對僵屍電腦發出指令加以控制。

圖 3 僵屍網路

(2)攻擊模式

14

T4：重大資安全事件分析 資通安全分析專論 T94002

一個僵屍網路通常包含上百部僵屍電腦，其使用的方式依據使用者而不同，

但絕大部分被用在犯罪及破壞行為上，以下介紹 Botnets 常見之攻擊模式。

(a)分散式阻斷服務(Distributed Denial of Service, DDoS)攻擊：所謂的阻斷服務

(Denial of Service, DoS)攻擊是指透過使用大量的資料流、不規則的封包大小、蓄

意的協定違反及阻礙主要設備的正常工作等模式，使網路無法正常地運作。如針

對「受害者」主機，應用緩衝器溢位及其他技術導致封包「超過頻寬」。一般而

言，這些攻擊是從單一的機器對一特定主機發動，目的是企圖讓處理器超載，或

是獨佔主機的頻寬，讓合法的使用者無法使用這項資源。

DDoS(如圖 4 所示)是以類似 DoS 的模式進行，唯一的不同點在於，DDoS

是從多個機器發動。起初，DDoS 的攻擊目標大部分是機關團體，但根據近來的

研究顯示，DDoS 已經延伸到一般商業競爭，如利用 DDoS 癱瘓競爭公司的網站，

國外已經有因為進行商業 DDoS 而遭到起訴的案例。事實上，DDoS 的攻擊目標

並不只局限在 Web 伺服器，凡是存在網路上的服務，就可能成為攻擊目標。利

用較高階的通訊協定，可以用在增加負載量上，相反地，也可用在進行特定攻擊

行為上，例如 HTTP-Flood，所謂 HTTP-Flood 是指使僵屍電腦在一個特定的網址

上執行，並以無限遞迴模式重新連結至該網址上之所有連結，使整個網路癱瘓。

由於其架構就如同一張蜘蛛網，故又稱為蜘蛛網路(Spidering)。

圖 4 DDoS 攻擊

15

T4：重大資安全事件分析 資通安全分析專論 T94002

(b)Spamming：Bot 程式可以掃描僵屍電腦中的通訊錄或電子信箱帳號，並令其將

大量廣告信件發送至搜尋到的電子信箱中，如圖 5 所示。這種模式也可以用來發

送網路釣魚郵件。

圖 5 Spamming

(c)監聽網路流量(Sniffering Traffic)：Bot 程式監控僵屍電腦傳送的封包(如圖 6 所

示)，並藉此得到有用的資訊，這些令駭客感興趣的資訊通常是使用者名稱

(Username)或密碼(Password)等。假使一台僵屍電腦同時受到多個 Botnets 控制，

駭客便有機會經由監聽網路流量得到其他 Botnet 的資料。

圖 6 監聽網路流量

16

T4：重大資安全事件分析 資通安全分析專論 T94002

(d)Keylogging：Keylog 是指記錄鍵盤的按鍵動作，部分駭客在 Bot 程式中加入

Keylog 功能。當使用者上線時，Bot 程式將 Keylog 紀錄檔及當時網路連線資訊

回傳，駭客藉此取得使用者名稱及密碼。目前以 Keylog 功能犯罪，大部分用在

竊取金融帳戶資料，近來也漸漸使用在竊取網路遊戲帳號密碼。

(e)散佈惡意程式：網路駭客利用僵屍電腦以電子郵件或其他模式，如 FTP，散佈

自製惡意程式，增加受害主機數量，擴大 Botnet 規模，如圖 7 所示。

圖 7 散佈惡意程式

(f)Google AdSense 濫用：Google AdSense 根據網頁中的關鍵詞自動顯示適合廣

告，並依據點擊數回饋部分廣告收入給該網頁出版者。駭客可操控僵屍電腦大量

點擊其管理網站之廣告，藉此獲取暴利，但此作法較少見。

(g)攻擊 IRC(Internet Relay Chat)網路：IRC 提供使用者經由網際網路互通訊息。

Botnet 以「Clone Attack」模式攻擊 IRC 網路，其攻擊方式與 DDoS 十分類似，

駭客同時操控大量僵屍電腦對 IRC 網路要求服務，造成 IRC 服務中斷。

(h)運用在網路民意調查及網路遊戲：到目前為止，網路民意調查的使用越來越普

及化，其重要性也不可同日而語，利用 Botnet，網路駭客可以操控底下的僵屍電

腦進行投票，擾亂網路民意調查的正確性。相似的手法，也可以應用在網路遊戲

上面。例如，利用所控制的帳號大量收購某特定網路商品，進而控制遊戲中的物

17

T4：重大資安全事件分析 資通安全分析專論 T94002

價及金流。

(i)大量竊取身分資料：利用僵屍電腦，網路駭客可以大量竊取身分資料。首先，

利用手下可利用的僵屍電腦發送垃圾郵件給其他使用者，並將該郵件偽裝成合法

機關團體或是金融機構所發出的，誘使使用者經由該郵信件中所提供的連結連線

至由僵屍電腦做為主機的釣魚網頁輸入使用者帳號、密碼或其他個人資料，藉此

便可在非常短的時間內大量竊取使用者身分資料。

(3)偵測

(a)入侵偵測系統

入侵偵測系統(Intrusion Detection System, IDS)是一種監測封包進出、比對入

侵型態、預防入侵攻擊，並能適時提出警告的防禦系統。IDS偵測入侵攻擊行為，

大體上可分為兩類，分別為異常偵測(Anomaly Detection)和誤用偵測(Misuse

Detection)。

(i)異常偵測：異常偵測之判斷原則為，遭到入侵的系統或網路與遭到入侵前

的正常系統或網路活動有明顯的不同，而且，入侵者與入侵前之其他合法

使用者之行為有明顯的不同，是一種正面導向的方法。此偵測模式誤判率

極高，目前屬不成熟之技術，應用上較不可行。

(ii)誤用偵測：入侵偵測系統內建之攻擊資料庫中，詳細定義著各種入侵攻擊

模式的規則。假若收集到的行為樣本與內建入侵攻擊模式資料庫的特徵相

似，便將此行為視為攻擊入侵行為。是一種負面導向的方法。此模式應用

上較可行，普遍用於防火牆及防毒軟體。

比較兩種偵測行為，異常偵測能克服新種類的入侵，但所謂異常活動及異常

行為定義不易，常隨著環境改變而不同，因此誤判率高，亟待改進。誤用偵測隨

著模式規則之更新，可偵測已知攻擊種類，準確率高，但無法辨識新型態入侵行

為。

為加強IDS的功能，近來以入侵防禦系統(Intrusion Prevention System, IPS)為

18

T4：重大資安全事件分析 資通安全分析專論 T94002

主要發展目標。IDS發現異常行為時會將紀錄通報至網管人員，入侵行為處理由

網管人員負責，但IPS在偵測入侵行為時同時進行防禦，可將事後處理的部分自

動化，節省人工判斷時間。IPS特色為深層檢測(Deep Packet Inspection及線型模

式(In-Line Mode)，IPS可檢測OSI模型中2至7層的封包，且攻擊主機、IPS、防火

牆、被攻擊主機之間連成一線，任何企圖入侵的封包都須經過IPS檢測，一旦發

現入侵行為便立即丟棄該封包。

面對Botnet時，IDS與IPS都無法承受Botnet進行的DDoS攻擊。首先，IDS及

IPS採用誤用偵測模式，對於DDoS大量看似正常實為攻擊的封包無法有效反應，

將使得系統及網路服務中斷。此外，採用線型模式亦是一大漏洞，在線型模式中，

封包皆需經過IPS檢測，當封包量過大，除了降低效率，甚至可能使IPS癱瘓，同

樣達到DDoS的攻擊目的。雖然如此，面對各式的攻擊手段，仍得尋出因應之道。

以下所介紹的誘捕系統(HoneyPot)即為在Botnet模式下的嚇阻方式之一。

(b)誘捕系統

誘捕系統是故意設計為有缺陷的系統，用來對入侵者行為進行警報或誘騙，

相較於IDS，誘捕系統能偵測更多攻擊。誘捕系統可以發現並分析新弱點，因為

攻擊者採取的行動會被記錄下來。任何通往誘捕系統的通訊都會被認定是可疑

的，即便是新的攻擊手法，也可以根據其與系統的互動而被發現，包括所謂的「第

八層」攻擊，或針對資訊流而不是針對程式或通訊協定的攻擊，同樣可以被偵測。

此外，誘捕系統 也能偵測和記錄長時間的資安事件(Incident)。

建置誘捕系統可消耗攻擊者時間，並讓攻擊者對現有的安全措施產生錯誤印

象。攻擊者可能針對誘捕系統做許多系統安全漏洞的研究，甚至開發攻擊程式或

軟體，由於該系統的安全漏洞可能並不存在，攻擊者開發的程式便無法對真實系

統產生威脅。

誘捕系統可分為三大類，待宰羔羊(Sacrificial Lamb)、偽裝系統(Facade)及傀

儡系統(Instrumented System)。

(i)待宰羔羊︰通常由一個「現成」或「現有」的系統所構成，時常被建置在

19

T4：重大資安全事件分析 資通安全分析專論 T94002

易受攻擊的位置，以引誘攻擊。

(ii)偽裝系統︰一套提供目標主機假象的系統。常見的執行模式是以軟體類

比特定服務或應用程式。當偽裝系統受到攻擊，便開始收集關於攻擊者

的資訊。

(iii)傀儡系統︰礙於待宰羔羊的建置成本極高，而建置成本低的偽裝系統則

無法提供較詳盡的攻擊資訊，傀儡系統則是介於兩者間的折衷方法。

我們可藉由誘捕系統來觀察 Botnet。利用網路駭客用來擴充其 Botnet 的惡意

程式，我們便可得知 Botnet 的行為模式。Windows 誘捕系統為一尚未修補系統

安全漏洞的 Windows XP 或 Windows 2000 系統，誘捕系統會在短時間內被惡意

程式攻陷，並自動安裝 Bot 程式，使受害主機成為僵屍電腦。Bot 將自動連上 IRC

伺服器要求下一步指令，但藉由安裝在誘捕系統上的 Snort Inline，我們可控制僵

屍電腦對外流量，並將可疑流量替換掉，阻止 Bot 從 IRC 頻道接收指令，此時

Bot 不會造成任何傷害，我們也成功地捕捉到 Bot 程式。從 Bot 對外發送的流量

中我們能取得重要資訊，例如 Bot 嘗試連結的 DNS/IP 位址、連接埠號碼(Port

Number)、IRC 伺服器密碼、頻道名稱及密碼等，這將有助於查出操控 Botnet 的

幕後黑手。

(4)蒐證處理

(a)證據識別

針對 Botnet 的資安事件處理，除了在本文第二節中提及的鑑識工具及其他輔

助工具外，我們尚需掃毒軟體及封包監聽工具的輔助。掃毒軟體可協助找到僵屍

電腦中的 Bot 程式及其他惡意程式，而封包監聽工具則用來截取和分析電腦網路

通訊訊息，有助於鑑識人員檢測網路上異常之流量。無論是惡意程式或網路流量

都可作為判別網路駭客的依據，因此是相當重要的證據來源。

此外，駭客利用 Botnet 透過網際網路進行各式攻擊，因此數位證據可能隱藏

在網路設備中，像防火牆、路由器、交換器和集線器等，在各個設備中或多或少

會留下網路駭客與僵屍電腦間溝通的連線資料(如目的 IP 位址)及溝通的內容(如

20

T4：重大資安全事件分析 資通安全分析專論 T94002

下達的指令)等。

(b)證據保存

Botnet 犯罪證據的來源包含網路設備及僵屍電腦的系統本身，因此鑑識人員

應備份網路設備中的各種資料及僵屍電腦主機硬碟資料，至少做兩份以上的備份

資料，並立即以 HASH 處理，以確保備份資料的完整性。有關證據保存的注意

事項已於第三節中介紹，在此不再贅述。

(c)證據調查

由於資料備份來源是已受控制的僵屍電腦，因此我們使用備份硬碟連上網路

時，硬碟中的 Bot 程式會接收到駭客發出的指令，並成為僵屍電腦。利用這點，

我們可在電腦安裝部分工具協助證據採集。首先，安裝監聽網路封包的工具，捕

捉所有進出電腦的網路流量，大部分的 Bot 程式都透過 IRC 服務(使用 Port

6660-6669)與駭客連繫，因此以監聽工具攔截特定連接埠的封包進行分析，從中

能發現 IRC 伺服器的 DNS/IP 位址、目的端及來源端使用的連接埠號碼、連接到

IRC 伺服器的密碼、Bot 程式暱稱、IRC 伺服器上可加入的頻道及密碼，以及連

線時間。

收集到相關資料後，可利用防毒軟體對電腦進行掃毒工作，找出電腦中的

Bot 程式及其他惡意程式。目前多家防毒軟體公司都能偵測並清除 Bot 程式，包

括 Symantec、McAfee 及趨勢科技等，我們需將偵測結果及偵測所得之惡意程式

備份做為證據。

Bot 程式進行感染時，通常會攻擊網路上其他電腦的 135/TCP、139/TCP、

445/TCP 及 137/UDP 四個連接埠，大約佔了 80%，因此從分析攔截的網路封包

可以發現，這些連接埠的對內流量表示目前正好有其他電腦試著入侵你的主機，

對外流量則表示你的電腦可能已經被植入 Bot 程式，且正在對網路上的電腦進行

攻擊。另外，在命令提示字元中輸入「netstat」指令，可顯示電腦目前的連線情

形。當電腦出現異常連線時，就表示有遭到入侵及植入後門程式的可能性。

21

T4：重大資安全事件分析 資通安全分析專論 T94002

(5)影響

一般來說，駭客進行入侵有兩個主要目的，其一是為了牟利，其二是展示能

力。駭客所控制的 Botnet 規模愈大，其力量也就愈大，進行任何攻擊時都能順利

達成。駭客能以 DDoS 攻擊威脅公司企業、使用僵屍電腦大量寄發網路釣魚郵件

騙取金融帳號密碼，甚至出租僵屍網路作為發送垃圾郵件的跳板，這些方法都能

幫助駭客賺錢。另外，不同駭客團體間也許會進行爭奪僵屍電腦的比賽，駭客發

展新的惡意程式，並具有移除其他 Bot 程式的功能，以強奪其他駭客手中的僵屍

電腦成為自己 Botnet 中的一員，藉此來展示自己的能力。隨著 Botnet 規模愈大，

其影響的對象範圍也就愈廣，從家庭用戶、公司企業，甚至政府機關都可能遭受

攻擊。

(i)就家庭用戶方面，家用電腦通常做為學生處理作業、收發電子郵件及娛樂

用途，電腦中缺少對駭客有價值的資訊，不過卻常常淪為駭客利用的工

具。由於家庭用戶較沒有資訊安全的概念，經常疏忽作業系統漏洞修補

及防毒軟體病毒定義檔更新，造成駭客有機可乘，植入 Bot 程式成為僵

屍電腦，以取得電腦的存取權限，並利用手中控制的電腦進行其他攻擊

行為，使得用戶成為駭客的代罪羔羊。

(ii)就公司企業方面，由於公司企業的電腦中存放許多商業文件及機密，這

使得他們易成為攻擊的對象，且商業電腦被駭客控制後，其損失比家庭

用戶更嚴重。商業間諜可利用大量僵屍電腦對企業進行 DDoS 攻擊，癱

瘓公司網路並竊取商業機密以換取錢財。當客戶資料外流會破壞公司商

譽，而產品研發資料外流可能使公司無法搶得商機，降低公司競爭力，

甚至造成倒閉的後果。任何攻擊行為都會破壞企業形象，造成公司經濟

損失。

(iii)就政府機關方面，以往常有政府機構網頁遭到駭客置換的事件發生，雖

然聲稱重要資料沒有遭到竊取，但難保往後相關事件不會發生，一旦國

家遭到駭客攻擊，可能會造成人民對國家失去信心，或是社會恐慌、影

響國家政治、經濟等。萬一外漏的是民眾的戶政資料，除了個人隱私不

22

T4：重大資安全事件分析 資通安全分析專論 T94002

保，個人資料盜用可能引起另一波犯罪行為。

另外，對被植入 Bot 程式的僵屍電腦而言，系統的穩定性及網路頻寬都會受

到影響，尤其當駭客對僵屍電腦進行資料竊取動作時，也許使用者對於資料被竊

取毫無警覺，但在網路功能使用上可能會發現異常，如網頁開啟速度變慢。系統

也可能因為惡意程式的執行，而導致部分系統服務遭到關閉，使得在系統操作上

紛紛出現錯誤。

八、結論

數位證據具有易修改、不易個化、無法直接被人類所理解及取證不易等特

性，但目前部分已獲得解決，根據數位鑑識的標準作業程序，我們可對原始資料

及所擷取的證據進行 HASH 計算，由所得到的結果比對以解決數位證據易修改

的問題，確保完整性。而現今大部分數位資料都有特定設備可顯示資料內容，因

此在資料檢視或編輯上已獲得改善。取證方面，不同的資安事件方式都有其特定

的數位證據。以 Botnet 犯罪為例，僵屍電腦中的 Bot 程式即是其特有的證據，了

解資安事件的各式可能形式後便能縮小取證的範圍。證據個化仍有一定的難度，

網路駭客多以跳板或偽造 IP 進行攻擊，使得嫌犯認定相當不易，這個部分是鑑

識人員應持續努力的方向之一。此外，由於電腦科技日新月異，電腦／網路上的

攻擊／入侵／侵權／破壞等諸多不法手法也會不斷地翻新，鑑識人員需經常性地

加強相關的鑑識技術。如果公司／企業的資訊人員能具備電腦鑑識的基本知識，

當企業遭受外部攻擊或資料遭到竊取時，資訊人員便能取得先機保存重要證物，

作為日後指控嫌疑犯的有利證據。

資訊安全的概念與資安事件的重大影響已經受到機關／團體的重視。事實

上，電腦／網路安全與資料保護概念的推廣可由家庭個人電腦的使用開始推廣。

防範資安事件下的電腦／網路犯罪應如同防範家裡遭小偷一般，不僅要在電腦上

加裝防毒軟體，還要記得不時更新病毒碼並定時作掃毒的工作，對於作業系統及

其他軟體的漏洞也應該定期修補。最重要的是個人使用電腦的習慣，下載不明小

23

T4：重大資安全事件分析 資通安全分析專論 T94002

程式、瀏覽色情網頁及開啟不明電子郵件都會使電腦處在危險的環境之中。因

此，資安事件下的電腦／網路犯罪是可以透過良好電腦／網路安全與資料保護習

慣的養成，而無形降低電腦／網路上不法情事的發生率。

24