鑒真數位鑑識的流程
我們的服務流程如下:
當接受到客戶端委託後,我們會開始與客戶訪談並整理目前案子的相關重要線索,此階段主要在於瞭解案件的搜尋範圍及關鍵證物的掌握度,並評估目標證物的硬體設備/作業系統/應用系統/資料貯存方式等,以便有效判斷適用的工具及執行的方法。
根據客戶委託目的及所搜集情報,實際準備可行的證據搜集軟硬體工具,將考慮公司伺服器營運的不可中斷性及事件本身的敏感性等因素調整可行的執行計畫。
遠端或現場進行相關證物的採集,建立嚴謹監護環 (Chain of custody) 程序,採集過程中需保護數位證物資料不受到破壞,將原始證物製作成映像檔並比對其摘要檔的一致性,部份系統在不可中斷的情況下則依案例採集系統執行中的各相關資訊及系統關鍵重要檔案,記錄所有的採集動作並維持監護環 (Chain of custody) 程序。
將原始證物作好適當的保存,持續監護環 (Chain of custody) 程序,針對代表原始證物的映像檔進行資料搜尋及分析,將視每個案例進行不同程度的下列分析工作:包含刪除資料或破損檔案的回復及搜尋、特定資料格式的解析(例如: email/web activity/registry/log 等) 、部份加密檔案破解、硬碟未分配磁區或隱藏檔案的重要資訊搜尋。
依據Step 4 的分析結果交相比對其關聯性,並將搜尋到的數位證據資料擷取及提供說明,若分析的結果指向需要搜尋其它未採集的證物,則回到步驟3再針對其它目標證物進行採集,一樣保持監護環 (Chain of custody) 程序,最後將所有發現結果滙整寫成專案鑑識報告。
若客戶案件進入司法程序,則鑑真數位可依客戶需求對其鑑識的發現結果以專家證人的方式作說明,或以客觀的專家證人方式去解釋其他需要數位證據說明的案件,此步驟則視客戶實際需求來提供服務。