臺灣博碩士論文加值系統

隨著網際網路技術的提升、行動通訊協定的成熟與智慧型手機的多元化與普及，改變人們使用手機的習慣，手機不再是傳統的通話功能，透過智慧型手機，可以使用通訊軟體互相聯絡、上網瀏覽網頁與交易、儲存個人相關資訊(如照片、記事等)，如同行動電腦。手機帶來的便利性，使得人們對它的依賴加深，甚至成為有心人士的犯罪工具，智慧型手機如同行動電腦存在大量的電磁記錄，這些記錄是具備鑑識價值的數位證據。有鑑於此，傳統的鑑識設備與方法，將不足以蒐集手機裡的數位證據。對於數位證據的認知、鑑識工具的選擇與使用，將是鑑識人員必需具備的主要專業與基本認知。
數位證據的蒐集、分析、萃取過程，必須使用標準的數位鑑識流程，以提高其公信力及有效性。本研究依據國內學者林宜隆教授所提出的數位證據鑑識標準作業程序(Digital Evidence Forensics Standard Operating Procedure，DEFSOP)，建構行動裝置數位證據鑑識標準作業程序雛型(Digital Evidence Forensics Standard Operating Procedure For Mobile Device，DEFSOP For Mobile Device）。透過與ISO 27037：2012與ISO 27041：2015的分析比對，驗證DEFSOP的嚴謹度及可用度，透過實例驗證DEFSOP For Mobile Device 的完整性與有效性。
手機鑑識作業中，資料的萃取已有一些工具軟體可以使用，在多個工具交互運用下，萃取所需的證據並不是問題，比較困難的問題是如何妥善運用這些數位證據，發揮其最大效能。本文研究所選擇的鑑識工具為Android提供之ADB與Cellebrite UFED，透過鑑識軟體萃取相關數位證據，分類並識別資料的可用性及有效性，交叉分析、個化比對，還原犯罪事實。
本研究結果貢獻:
一、本文研究提出行動裝置數位證據鑑識標準作業程序((DEFSOP For Mobile Device)雛
型， 並以三個實際案例來驗證其四大階段，原理概念、準備、操作及報告等階段，
提供事件調查鑑識人員可依循的標準作業程序。
二、本文研究使用鑑識工具ADB及UFED，透過工具優缺點比較分析、操作過程及結
果的呈現，提供事件調查鑑識人員可依循的工具選擇參考。
三、本文研究探討國際資安事件處理標準ISO 27041:2015，再加上使用Cellebrite UFED
鑑識工具的實例驗證，為全國目前第一個探討研究的碩士論文。

As Internet technology improves, mobile communications protocols mature and intelligent diversification and the popularity of mobile phones, change the habits of people using their cell phones, cell phone is no longer a traditional phone, smart phone, you can use communications software to communicate, surf the Web page associated with the transaction and storage of personal information ( Such as photos, notes, etc ), It's like computer action. Convenience of mobile phones, making it dependent on deepening, even those tools of crime, smart phone as the computer there are a lot of electromagnetic records, these records are digital evidence forensic value. In view of this, traditional methods of forensic equipment and will not be enough to gather digital evidence in the mobile phone. About digital evidence, and selection and use of forensic tools, is the main professional and examiner must have basic knowledge.
Digital evidence collection, analysis, extraction process, you must use the standard digital forensics process in order to enhance its credibility and effectiveness. According to the scholars of this study by Professor I-Lon Lin 's Digital Evidence Forensics Standard Operating Procedure (DEFSOP), To constructing Digital Evidence Forensics Standard Operating Procedure for Mobile Device (DEFSOP For Mobile Device ). With the ISO 27037:2012 and ISO 27041:2015 analysis than to verify DEFSOP Rigorous and availability through the example DEFSOP For Mobile Device integrity and effectiveness.
Mobile phone forensics operations, data extraction has some software tools can be used, under the multiple tools of interaction uses, extract the necessary evidence is not a problem, more difficult question is how to properly manage all these digital evidence, its maximum effectiveness. This study selected forensics tool for Android provides the ADB and the Cellebrite UFED through digital evidence forensics software extraction, classification and identification of data availability and validity of cross-analysis, comparison of reducing crime facts.
The results of this study contribute:
First, this study suggests that the Digital Evidence Forensics Standard Operating Procedure for Mobile Device (DEFSOP For Mobile Device) prototype, and three real cases to prove the four stages theory concepts, phases of preparation, action and reporting, provides event investigation and forensics officers followed standard operating procedures.
Second, this study used forensic tools ADB and UFED , Through the comparative analysis of the advantages and disadvantages, operation and presentation of results, provide event investigation forensic tools reference you can follow.
Three, an event-handling standards, this paper studies the international funding ISO 27041:2015 and use Cellebrite UFED Forensic tool test for China's first research master's thesis.

摘要 i
Abstract iii
致謝 v
表目錄 viii
圖目錄 ix
第一章、緒論 1
1.1研究背景及動機 1
1.2研究目的 1
1.3研究範圍與限制 2
1.4 論文架構 3
第二章、文獻探討 5
2.1數位鑑識與行動鑑識 5
2.2數位證據與數位證據鑑識標準作業程序 5
2.2.1數位證據鑑識標準作業程序（DEFSOP） 7
2.3 ISO 27037:2012國際標準數位證據處理程序 9
2.4 ISO27041:2015國際標準資安事件調查指引 11
2.4.1 ISO27041:2015資安事件調查 11
2.4.2 ISO 27041:2015開發部署模型與SDLC比較分析 14
2.5數位鑑識工具探討 15
2.5.1 Cellebrite UFED (Universal Forensic Extraction Device ) 15
2.5.2 ADB (Android Debug Bridge) 17
第三章、研究方法與設計 18
3.1建構行動裝置數位證據鑑識標準作業程序(DEFSOP For Mobile Device )雛型 18
3.2 研究方法 23
3.3 研究步驟 38
第四章、案例驗證與結果分析 40
4.1案例一 40
4.2案例二 45
4.3案例三 52
4.4 建立UFED鑑識DEFSOP作業程序 59
第五章、結論與未來研究方向 62
5.1結論 62
5.2未來研究方向 63
參考文獻 64

中文部分:
[1] 林宜隆，“建構數位證據鑑識標準作業程序” ，司法新聲101期_第4篇，2012年。
[2]陳威棋，“談數位鑑識－從國內外實際案例看數位鑑識之重要性”，財金資訊季刊，勤業眾信聯合會計師事務，2014年7月。
[3] 林宜隆、李政謙、陳靜玉、張志汖，“數位證據鑑識標準作業程序與ISO27037數位證據處理程序之比較分析”，第十九屆資訊管理暨實務研討會，2013年。
[4]王宗隆，“數位證據分析與鑑識雲端平台DEFSOP之研究-以LINE DEFSOP為例”， 國立宜蘭大學多媒體網路通訊數位學習碩士在職專班碩士論文，2015年。
[5]林宜隆、藍添興，“資訊犯罪與安全管理之探討”，中央警察大學，2004年。
[6]林宜隆、張文耀、劉耿旭，“建構個人資料保護之數位證據鑑識標準作業程序”，電腦稽核 27 期，2013年1月。
[7] 台灣大學計算機及資訊網路中心，“軟體發展的生命週期”，電子報，2007年9月。
[8]藍添興， “數位證據標準作業程序之研究 ”，中央警察大學碩士論文，2004年6月。
[9]林宜隆 ，“網路犯罪：理論與實務”，中央警察大學出版社，2009年。
英文部分:
[10]ISO/IEC 27037 Information technology-- Security techniques -- Guidelines foridentification，collection，acquisitionand preservation of digital evidence，2012.
[11]ISO/IEC 27041 Information technology-- Security techniques – Guidance on assuring suitability and adequacy of incident investigative method ，2015.
[12]Eoghan Casey，“Handbook of Digital Forensics and Investigation, ”Academic Press，November 9，2009.
[13] “Mobile Forensics Products - Decoding & Review , ”
http://www.cellebrite.com/Mobile-Forensics/Applications.