CHFI v9 (Computer Hacking Forensic Investigator, 2017)

查看FB的上一篇網誌，已經是一年前考完CEH的事了。合校後非常忙碌，業外閱讀幾乎停擺，只能又來寫應考心得。 　CHFI (Computer Hacking Forensic Investigator Course)是由EC-Council所規畫設計的「資安鑑識調查專家認證課程」，名為專家，可是原意中哪裡找得到專家二字？客觀而言，說是「電腦鑑識調查人員訓練課程」較為適宜。課程設計希望結訓人員能對遭到入侵攻擊的一般使用者個人電腦，或者以電腦從事電腦輔助犯罪的涉案電腦，具備基本的處理常識；在適法且不侵犯隱私的前提下，以符合科學的方式紀錄與保存證據，以供後續內部調查或司法訴訟之用。
　電腦鑑識的結果，理想情形是要能擺上法庭的。在處理電腦之前，永遠得先解決人的問題，並且滿足法律要求。你如何有權碰到別人的電腦？如何取得正式授權或搜索令？所處地區的法規有相關規定嗎？即使只是老闆交辦進行內部調查，其實可能踩到隱私權的紅線，可以做嗎？該做嗎？課程的開頭不斷強調鑑識相關的法規遵循事項以及原則。雖然看起來很多都是美國法規，台灣用不著；司法警察以外人員涉入刑事案件的機率更微乎其微(上CHFI的很多人是警察)。但課程還是強調：一切依法而行。不然苦心保留下來的數位證據法律上站不住腳，根本白忙一場，更遑論有沒有證據力了。
　解決了法律層次問題後，課程接著討論鑑識程序，以及當中鑑識人員的角色與責任。第一時間回應者，管理人員，鑑識實驗室人員，從保留現場、紀錄、採證，乃至後續撰寫鑑識報告，皆有其專業分工。為了確保證物的證據力，除了像CSI那樣拉封鎖線、確實拍照和紀錄，對證物明確編號與妥善保存外，還應留意案件中資訊設備本身的特殊性。開機電腦中的可揮發性資料(volatile data)在關機或重開機後可能遺失，設備移動或纜線拔除後可能無法重置回原來狀態。如果遇到的是Iphone，更可能會被遠端滅證。妥善的將證物保存下來，才能進行次一階段的數位採證程序。
　取得資訊設備之後，接下來得將當中的資訊保留下來。那種開著電腦在裡面找檔案的做法，是百分之百的大忌，因為會將檔案時間弄亂，又留下一堆不知是誰造成的操作軌跡。正規的作法，應該是利用外接硬體或採證軟體，將整個磁碟做 Bit-Stream copy到為鑑識而設置的專用硬碟中，製作一份以上的副本，並透過 hash校驗確保採證的結果是同一份。針對記憶體等揮發性資料，如果開機時無法採得，只能從swap、Prefetch或其他地方下手。總之，要以不更動目標電腦為前提，將該部電腦內的狀態移植至他處，再用鑑識軟體開啟映像檔，從當中判讀機碼、使用者操作紀錄，乃至於試著復原被刪除或刻意隱匿的檔案。
　課程設計要辦案的案情千奇百怪。鑑識人員要找出蛛絲馬跡，得先懂得肉雞(受害者-涉案)電腦的磁碟基本架構。然後，不同作業系統會有不同的特徵，以及保留操作軌跡的方法。CHFI課程偏重Windows，有些學員略有微詞，但大多數User用Windows居多，這可能是不得已的規劃。偏偏windows的發展歷史久遠，開卷至此會讓人感覺在上成人版的計算機概論，從底層的磁碟定址、碟片磁柱磁區，到FAT12、FAT16、FAT32，NTFS的演化，除了要會用16進制編輯器去看磁區，看檔案，甚至 File carving 找回檔案。對於Windows的登錄檔(機碼)路徑，SAM，乃至於惡名昭彰很難記的資源回收桶進化史，都得如數家珍。
　如果知道磁碟與作業系統特性就結案的話，這門課應該馬上結束了。不過犯罪者(涉案人)當然不會這麼中二，不然這門課怎麼會如此精彩(昂貴)呢？ 有員工不滿被裁員，暴怒清光刪除檔案的。也有無聊人士違反動保法規，刻意把檔案藏起來的。想洩密的人，把機敏資訊以圖藏文讓你找不到，或是將檔案加密寄出逃過監管。魔高一尺道高一丈，如何因應反鑑識技術，也是課程的重點。那些使用者紀錄會被藏在機碼的何處？也是讓人傷腦筋的地方。以今日的資訊環境，除了了解電腦本身，資訊設備的威脅攻擊來自於網路，由下至上，由內到外，使用者使用的網站應用程式、可能接觸到的惡意程式，會用到的資料庫乃至於雲端備份軟體、行動載具，都是需要關照的環節。
　一切回到源頭，還是要歸納出那部肉雞電腦上發生了甚麼事？哪些證據確實存在？可以用時間序列的方式將涉案人的活動呈現出來嗎？識別了證據呈現的事實之後，將鑑識報告依照要求規範撰寫出來，這樣初步的鑑識工作也就初步完成了。法庭上的攻防是專家證人的範疇，並不是本課程結業學員能夠處理的。
如何準備：

1. Windows的檔案系統、機碼結構與檔案刪除/找回機制要非常熟悉。
2. 要弄懂windows上記錄使用者資訊的各個地方，如MRU、開過的檔案、程式，Start設定等等。機碼很難記，但是沒有辦法。
3. 針對各章節提到的工具，應該獨立列一張表，方便記憶哪種工具用於處理甚麼問題。
4. 不然隨便問個JB要選哪一套，Mac電腦檔案反刪除用哪一套，題目根本變態。
5. windows主機上的網路基本指令如 nbtstat 等等，考一大堆。
6. 法規都是美國的，感覺沒路用，但是會考。像 CAN-SPAM Act 是啥?Daubert & Frye 又是誰? Gramm-Leach Bliley Act 管的是甚麼?何為交叉詰問甚麼是直接詰問 ，雖然跟電腦感覺沒關係，但是不讀不行。
7. TCP IP網路知識、WireShark的使用是基本。不然不會解封包，後面進階的習題根本做不出來。考題還出現cisco的log，筆者全無涉獵，只好通通「送他」了。

想法： 1.好的數位鑑識工具可以在一套軟體內完成多項工作，上課大多採用開源或freeware，就得分成多段去完成講師交代的任務，有時一恍神就無法完成步驟，回家也演練不出來，這是令人苦惱之處。 2.一門課程每位學員的要求不同，當課程變成考試取向，講師只能盡量強調記憶重點之處，就無法針對鑑識實務與真正流程多做闡述。未能紮實學到鑑識流程或講師的武功心法，是非常可惜的地方。老師已經盡力了，但也是沒有辦法。