序
市麵上已有好幾本關於Windows,甚至Mac的鑑識分析書籍,但針對Linux係統的鑑識分析書籍卻很少見,專門剖析裝有Linux係統的靜態硬碟(簡稱死碟〔dead disk〕)之書籍更是稀少。筆者看到社群裡的數位鑑識人員不斷埋怨「有愈來愈多的Linux磁碟映像送到實驗室來,可是不曉得如何下手!」這些抱怨的聲音來自私營部門(公司)和公傢機構(執法單位)的鑑識實驗室,本書目標是希望為此日益增長的證據領域提供活用的資源,協助鑑識人員勘查及萃取Linux係統上的數位證據,以便重現過往的活動軌跡,描繪齣符閤事件邏輯的結論,並針對分析結果撰寫完整的鑑識報告。
撰寫本書的另一個原因是基於個人興趣,以及想要更深入瞭解現代Linux係統的內部結構,十幾年來,Linux發行版的重大進展已改變Linux鑑識分析的處理方式,筆者在瑞士伯爾尼應用科技大學教授數位鑑識和Linux課程,撰寫本書正可驅動我去理解這些主題。
人們對目標係統執行鑑識分析的動機或有不同,有關電腦係統的鑑識分析大緻可分為受害方和加害方兩大類。
就受害方的角度,分析作業常涉及網路攻擊、係統入侵和網路詐騙等事件,鑑識對象是受害方所擁有,通常他們會願意提供給鑑識人員分析,這類鑑識對象有:
• 因漏洞或不當組態而遭受技術入侵或危害的伺服器。
• 因身分憑據被盜而遭到未經授權存取的伺服器。
• 遭到惡意軟體入侵的個人桌麵係統。常因使用者點擊惡意鏈結或下載及執行惡意程式和腳本所緻。
• 社交工程的受害者,因受誘騙而執行非自願的動作。
• 受到脅迫或勒索的使用者,不得不執行非自願的行為。
• 針對受害組織的大型調查行動中,電腦係統也是鑑識分析的標的之一。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。
從加害方的角度,就是分析執法當局所扣押或企業事件應變團隊所沒收的電腦係統,這些係統可能是嫌疑人或犯罪者所擁有、管理或操作。底下列齣一些常見的例子:
• 被設置成託管釣魚網站或散播惡意軟體的伺服器。
• 用於管理殭屍網路的命令和控製(C&C)伺服器。
• 濫用存取權而進行惡意活動或違反組織政策的使用者。
• 執行非法活動的個人桌麵係統,例如保有或散發非法素材、從事入侵活動或參與非法地下網站活動(如賭博、兒童色情等)。
• 因大型犯罪調查(如組織犯罪、毒品買賣、恐怖行動等)而須鑑識分析的電腦係統。
• 配閤大型民事調查(如訴訟或電子搜索)而須鑑識分析的電腦係統。
上述場景所找到的數位軌跡都有助於重建過往事件或作為證據。
當Linux電腦被執法人員依法扣押、經擁有該電腦的組織沒收,或由受害者自願提供,它們將被製作成映像係統再交由數位鑑識人員分析。Linux已是伺服器、物聯網(IoT)和嵌入式裝置上的常見平颱,使用Linux的個人桌麵係統亦不斷成長中,隨著Linux佔有率的增高,受害方和加害方的鑑識分析需求愈加殷切。
某些情況下,特別是人們受誣告或無端受到懷疑時,鑑識分析是證明其清白的重要手段。
