鑒真數位鑑識流程

最資深的資安鑑識經驗,提供最專業的數位鑑識分析服務與專家證人諮詢。


關於 ISO/IEC 17025:2005

TAF為國際實驗室認證聯盟(International Laboratory Accreditation Cooperation, ILAC) 會員,目前簽署相互承認協議(Mutual Recognition Arrangement, ILAC MRA)之會員含58個經濟體以及71個認證機構。


根據ISO/IEC 17000「認證」之定義為:
「對能力之認可與符合性評鑑機構正式展現其有能力執行特定符合性評鑑工作有關之第三者符合性證明。」

鑒真數位鑑識實驗室,經財團法人全國認證基金會(Taiwan Accreditation Foundation, TAF)評鑑,認證通過「ISO/IEC 17025 : 2005 實驗室認證」。我們的數位鑑識服務流程謹依據實驗室認證規範,專業項目階段性評估與鑑識分析,提供您可信賴的鑑識分析結果;國際認定之實驗室認證,使鑑識結果及方法流程可於國際間ISO規範之各實驗室間相互承認。提供最專業的數位鑑識分析服務與專家證人諮詢,是您的最佳決策。

我們嚴謹依據實驗室認證規範,提供您可信賴的鑑識分析結果。

鑑識服務


已確定遭遇資安事件,且清楚目標時,依委託鑑識目標進行完整鑑識分析。

當接受到客戶端委託後,我們會開始與客戶訪談並整理目前案子的相關重要線索,此階段主要在於瞭解案件的搜尋範圍及關鍵證物的掌握度,並評估目標證物的硬體設備/作業系統/應用系統/資料貯存方式等,以便有效判斷適用的工具及執行的方法。
根據客戶委託目的及所搜集情報,實際準備可行的證據搜集軟硬體工具,將考慮公司伺服器營運的不可中斷性及事件本身的敏感性等因素調整可行的執行計畫。
遠端或現場進行相關證物的採集,建立嚴謹監護環 (Chain of custody) 程序,採集過程中需保護數位證物資料不受到破壞,將原始證物製作成映像檔並比對其摘要檔的一致性,部份系統在不可中斷的情況下則依案例採集系統執行中的各相關資訊及系統關鍵重要檔案,記錄所有的採集動作並維持監護環 (Chain of custody) 程序。
將原始證物作好適當的保存,持續監護環 (Chain of custody) 程序,針對代表原始證物的映像檔進行資料搜尋及分析,將視每個案例進行不同程度的下列分析工作:包含刪除資料或破損檔案的回復及搜尋、特定資料格式的解析(例如: email/web activity/registry/log 等) 、部份加密檔案破解、硬碟未分配磁區或隱藏檔案的重要資訊搜尋。
依據Step 4 的分析結果交相比對其關聯性,並將搜尋到的數位證據資料擷取及提供說明,若分析的結果指向需要搜尋其它未採集的證物,則回到步驟3再針對其它目標證物進行採集,一樣保持監護環 (Chain of custody) 程序,最後將所有發現結果滙整寫成專案鑑識報告。
若客戶案件進入司法程序,則鑒真數位可依客戶需求對其鑑識的發現結果以專家證人的方式作說明,或以客觀的專家證人方式去解釋其他需要數位證據說明的案件,此步驟則視客戶實際需求來提供服務。

快速鑑識分析


有鑒於一般公司在遇到敏感資訊緊急事件時,並不清楚所需調查的資料範圍及人員涉入程度,甚至不清楚是否主要的貯存電腦可找到相關的數位證據,而希望能有一個初步的調查結果並提供高階主管可做進一步決策,因此我們提供快速鑑識分析,讓公司在基本的預算範圍內可立即進行專業的數位鑑識服務,有一個快速的輪廓後清楚是否要進行更進一步的資訊鑑識調查。

資安健檢服務


為未遭遇資安事件前之檢測動作。預防性檢測是否存在可疑之惡意程式及資安漏洞。包含:資訊主機整體架構及帶有敏感資料位置釐清、資安防護作為實際檢視及抽查、數位證據保全作為實際檢視及抽查,並在檢查結束後提供各項目之結果與建議報告。

電子郵件鑑識服務


不可否認,電子郵件已成為公司對外溝通的重要方式之一,由於郵件系統的便利性使得許多公司重要的訂單/報價/契約/授權證明/付費資訊等均藉由電子郵件傳遞,鑒真數位公司的成員本身曾經開發過許多大型的郵件稽核系統,對於各類型的郵件系統架構有非常清楚的瞭解,因此在鑑識服務中可特別針對電子郵件證據的檢視及 Web mail 郵件檢視及刪除郵件檢視等提供專業鑑識服務。 電子郵件使用由來已久,早期因為協定設計的不嚴謹性,導致許多有心人士藉由電子郵件標頭的偽裝來發送黑函或不實的消息,透過郵件鑑識服務將可具體瞭解發送端的來源,若發送者的電腦屬於公司的管轄範圍,則經由專業工具的解析可搜集到發送者原始編輯的具體數位證據,即使是使用外部的 Web Mail (例如: Hotmail/Gmail/Yahoo mail 等)仍舊有極大的機會搜尋到關鍵證據提供給管理者作進一步決策。

侵權鑑識服務


訴訟往往是公司遭遇到緊急事故後,經過審慎的評估及權衡得失後,最後不得已才採取的方式,但從確保公司權益的角度來看,許多案件在掌握有利證據後往往不必進入訴訟程序,就可獲得公司的最佳利益,例如:當您掌握侵權方的實質證據後,可藉由部份的事前存證告知動作,將可有效嚇阻侵權人員進一步去進行偒害公司的行為,造成不必要的公司損失及訴訟花費,以爭取公司實質權益。

更有許多委託鑑識的案例,實際上均是著重於公司內部緊急資安事件的鑑識調查,此類的鑑識案件,往往必需儘量低調且避免案件曝光,以減少不必要的困擾,因此其目的著重於發現事實真相,以方便經營者做進一步的管理決策,而非進行法律訴訟程序。

駭客入侵調查


專業超過10年以上的駭侵事件調查經驗,可協助單位於遭遇此類事故時,於最短時間內作好資安緊急應變的必要程序及正確動作,避免事件持續擴大且嚴謹保留重要數位證據,協助調查及還原系統被駭的主要根因,並建議如何防護及改善現有資安之漏洞。

資料救援服務


很多情況下公司可能需要資料救援服務,對於因為硬碟損毀導致部份重要檔案破損無法開啟或不慎刪除重要資料或中毒引起的資料遺失等, 鑒真數位則利用專業的工具及技術來檢視損毀的狀況並依據狀況來救回所有完整的資料,對於指定已毀損的重要文件,則可利用鑑識的專業搜尋技術找到貯存在硬碟的實體位置, 將其重組並回復為當初部份或完整的檔案。少部份公司可能會遭遇到重要文件加密但因故遺失密鑰的狀態,則可諮詢本公司專業顧問依檔案加密的強度,來決定可能的解決方式。

硬碟資料救援
本公司具備無塵工作設備可在 Class 100 之無塵環境中進行硬碟開盤之進階資料救援,支援各式 硬碟 IDE/SATA II/SATA III/SCSI/SAS 等介面,包含各種型號之硬碟,對於磁碟陣列則可支援 RAID 0/1/3/5/6/10 等不同組態之資救救援,且本公司為國內唯一使用鑑識級設備進行資料救援並定期授課教學之專業公司。

手機資料救援
本公司為國內手機資料救援之軟硬體設備代理商,可處理手機照片/簡訊/通訊錄/聊天紀錄(line/skype/whatsapp..)等各種手機資料刪除之救援服務,將針對手機晶片/SIM/手機記憶卡等各項資料貯存保護區塊,進行資料回復救援。另針對各智慧型手機內之APP程式可提供程式鑑識檢測服務,確認是否具有後門及各項資料竊取之惡意程式模組。