近代資訊科技與網際網路快速蓬勃發展，帶給人類生活莫大的助益，促進了人與人之間便利溝通，但伴隨而來電腦網路的安全事件亦層出不窮，如：駭客或攻擊者利用資訊科技進行高科技犯罪，隱然形成另類社會犯罪，造成社會治安許多負面性影響，諸如：網路入侵、色情、詐欺、侵害智慧財產權、身份盜用、未授權存取電腦等等。但是此類犯罪與傳統犯罪型態存在相當大的差異，因此調查此類電腦犯罪必須借助過鑑識領域中電腦鑑識知識與技術處理。
電腦鑑識，它是利用鑑識科學方法及電腦鑑識工具對犯罪工具(如：電腦或網路)進行犯罪蒐證。鑑於目前國內電腦鑑識尚屬萌芽階段、電腦鑑識程序及數位證據保存知識欠缺、鑑識工具使用的知識貧脊，使得國內調查人員有心偵辦電腦犯罪郤苦於背景知識及經驗不足導致躊躇不前，因此在本文中探討有關於國外專家學者對於電腦鑑識程序及定義，結合歐美國家對於電腦鑑識的採證原則，提出數位證據蒐證原則及流程，讓偵辦人員得知進行電腦鑑識的觀念與知識，同時針對Windows平台相關電腦鑑識技術與工具進行有系統的研究，以輔助國內司法調查人員或鑑識人員調查資訊犯罪的參考依。

The recent development of the technology of information and internet show us that the improvement is in enormous, so people benefit from those, and people communication can more be convenient. However, the computer and internet security emerged in an endless stream, for example: hackers or attackers can use high technology tools to commit a high technology crime. The situation, in other words, is alternative social crime and it bring mankind society greatly negative effort：intrusion on computer, pornography, deception, the invasion of intellectual property rights, unauthorized to access the computer…etc. But that have extremely distinct difference between in computer criminal offense and traditional crime action, so the investigator inquiring into computer crime must have the aid of the computer forensics knowledge and technology in the computer forensic field.
Computer forensics, it make use of the forensic scientific method and computer forensics tools to investigate guilty tool (ex: computer or network) to collect the proof of crime. In view of computer forensics development in our country, the computer forensics is in initial stage, so investigator recently is short of the knowledge in digital evidence preserve, using computer forensics tools and experience for computer forensics. It makes our investigators hard to take the inquiring action. In this thesis, we probed into the foreign computer forensics scholar’s or expert’s process or definition for computer forensics, and combined the rule of collecting evidence that Europe and America have addressed, we brought up the rule of collecting digital evidence and process in this paper to assist investigator to understand the computer forensic concept and knowledge, in the meanwhile, this research focused on researching in computer forensics technology and tools systematically on Windows base to provide our country investigator with reference material to assist them.

中文摘要--------------------------------------------------------------------------------------------- I
英文摘要--------------------------------------------------------------------------------------------- II
誌謝--------------------------------------------------------------------------------------------------- III
目錄--------------------------------------------------------------------------------------------------- IV
表目錄------------------------------------------------------------------------------------------------ VII
圖目錄------------------------------------------------------------------------------------------------ VIII
一、 緒論--------------------------------------------------------------------------------- 1
1.1 背景--------------------------------------------------------------------------------- 1
1.2 動機與目的------------------------------------------------------------------------ 3
1.3 研究動機與目的------------------------------------------------------------------ 3
1.4 研究架構與方法------------------------------------------------------------------ 5
1.5 研究範圍與限制------------------------------------------------------------------ 5
二、 文獻探討--------------------------------------------------------------------------- 7
2.1 事件回應--------------------------------------------------------------------------- 7
2.1.1 資訊安全事件的定義------------------------------------------------------------ 7
2.1.2 資訊安全事件的應變------------------------------------------------------------ 8
2.2 電腦犯罪--------------------------------------------------------------------------- 9
2.2.1 電腦犯罪的意義------------------------------------------------------------------ 9
2.2.2 電腦犯罪的動機與模式--------------------------------------------------------- 10
2.2.3 電腦犯罪的趨勢與威脅--------------------------------------------------------- 12
2.3 數位證據--------------------------------------------------------------------------- 16
2.3.1 數位證據之意義------------------------------------------------------------------ 16
2.3.2 數位證據之法律地位------------------------------------------------------------ 18
2.3.3 數位證據在刑案偵查中之角色------------------------------------------------ 19
2.3.4 數位證據之證據能力------------------------------------------------------------ 20
2.3.5 數位證據之收集與保存--------------------------------------------------------- 21
2.4 電腦鑑識科學--------------------------------------------------------------------- 22
2.4.1 電腦鑑識源由--------------------------------------------------------------------- 22
2.4.2 電腦鑑識原則及數位證據------------------------------------------------------ 23
2.5 電腦鑑識程序及方法------------------------------------------------------------ 24
三、 電腦鑑識程序--------------------------------------------------------------------- 26
3.1 事前準備工作--------------------------------------------------------------------- 27
3.1.1 資訊安全處置之略策------------------------------------------------------------ 28
3.1.2 電腦鑑識目標--------------------------------------------------------------------- 30
3.1.3 鑑識工具收集與環境建置------------------------------------------------------ 31
3.2 蒐集數位資料--------------------------------------------------------------------- 32
3.2.1 蒐集變動性數位資料------------------------------------------------------------ 32
3.2.2 蒐集固定性數位資料------------------------------------------------------------ 33
3.2.3 蒐集檔案系統數位資料--------------------------------------------------------- 35
3.3 數位證據之分析------------------------------------------------------------------ 36
3.3.1 檔案分析--------------------------------------------------------------------------- 37
3.3.2 記錄檔(log)------------------------------------------------------------------------ 41
3.3.3 Windows登錄檔(registry)------------------------------------------------------- 42
3.3.4 隱藏的檔案與資訊--------------------------------------------------------------- 44
3.3.5 壓縮檔與加密檔------------------------------------------------------------------ 46
3.3.6 判別惡意程式碼------------------------------------------------------------------ 47
3.4 電腦鑑識結果報告--------------------------------------------------------------- 48
四、 電腦鑑識工具收集與測試------------------------------------------------------ 49
4.1 蒐集與保存資料工具與備份工具--------------------------------------------- 49
4.1.1 蒐集變動性資料工具------------------------------------------------------------ 49
4.1.2 保存log檔與registry檔工具及密碼檔--------------------------------------- 60
4.1.3 製作系統影像檔工具------------------------------------------------------------ 63
4.2 分析數位證據--------------------------------------------------------------------- 66
4.2.1 檔案分析--------------------------------------------------------------------------- 66
4.2.2 log檔-------------------------------------------------------------------------------- 70
4.2.3 登錄檔------------------------------------------------------------------------------ 74
4.2.4 隱藏檔案與資訊------------------------------------------------------------------ 76
4.2.4.1 搜尋隱藏stream------------------------------------------------------------------- 76
4.2.4.2 搜尋多媒體檔案------------------------------------------------------------------ 78
4.2.5 分析加密檔案與壓縮檔--------------------------------------------------------- 81
4.2.5.1 壓縮程式之壓縮及加密功能--------------------------------------------------- 81
4.2.5.2 加解密檔案------------------------------------------------------------------------ 83
4.2.6 惡意程式碼鑑識------------------------------------------------------------------ 87
4.2.6.1 防毒程式--------------------------------------------------------------------------- 88
4.2.6.2 掃描木馬程式--------------------------------------------------------------------- 89
4.2.7 安全性工具------------------------------------------------------------------------ 91
4.2.8 整合性工具------------------------------------------------------------------------ 94
五、 電腦鑑識個案探討--------------------------------------------------------------- 98
5.1 實驗環境--------------------------------------------------------------------------- 98
5.2 電腦鑑識案例探討--------------------------------------------------------------- 99
5.2.1 案例說明--------------------------------------------------------------------------- 99
5.2.2 電腦鑑識程序之執行------------------------------------------------------------ 100
5.2.2.1 準備工作--------------------------------------------------------------------------- 100
5.2.2.2 蒐集資料--------------------------------------------------------------------------- 102
5.2.2.3 分析資料--------------------------------------------------------------------------- 121
5.2.2.4 產生結果報告--------------------------------------------------------------------- 127
六、 結論與建議------------------------------------------------------------------------ 131
6.1 結論--------------------------------------------------------------------------------- 131
6.2 建議--------------------------------------------------------------------------------- 132
參考文獻 --------------------------------------------------------------------------------------- 134

[1] CNET新聞專區：Graeme Wearden ，2002，http://taiwan.cnet.com/news/software/0,2000064574,20089167,00.htm
[2]王子敬、謝侑純、尤焙麒譯，Eric Maiwald著，2002年，網路安全入門手冊，第二版，麥格羅.希爾國際出版社。
[3]王旭正、柯宏叡、楊誠育，2002，網站入侵安全的證據存留鑑識探討，Communications of the CCISA ，2002， Vol. 8 No. 4 。
[4]台灣電腦網路包機處理暨協調中心，DDoS攻擊的趨勢與防禦策略 ，https://www.cert.org.tw/document/column/show.php?key=73
[5]台灣電腦網路包機處理暨協調中心，目前網路攻擊趨勢之概述https://www.cert.org.tw/document/column/show.php?key=50
[6]台灣電腦網路危機處理暨協調中心，企業組織如何處理源自外部的電腦安全事件，https://www.cert.org.tw/document/column/show.php?key=46
[7]江家明、林稚忠翻譯，Kevin Mandia and Chris Prosise原著，2002，獵殺駭客─電腦犯罪調查與解決方案，第四版，麥格羅.希爾國際出版社。
[8]林一德，2000，電子數位資料於證據法上之研究，國立台灣大學法律研究所。
[9]林宜隆、邱士娟，2002，我國網路犯罪案例現況分析第四屆，2002年「網際空間：資訊、法律與社會」 學術研究暨實務研討會。
[10]林宜隆、楊鴻正、薛明杰，2003，我國資通安全鑑識機制規劃之研究，二○○三年網際網路空間：科技與犯罪與法律社會研討會論文集。
[11]林茂雄翻譯，李昌鈺原著，1999，刑案現場蒐證，中央警察大學。
[12]孫宇安譯，Julia H. Allen原著，2002，CERT網路與系統安全實務，培生教育出版社集團。
[13]黃景彰，資訊安全-電子商務之基礎，2001，華泰文化事業公司。
[14]黃榮堅，電腦犯罪的刑法問題，台大法學論叢第二十五卷第四期。
[15]楊凱勝、高大宇、王旭正，2000，電腦資訊犯罪之身分追蹤驗證分析模式建立，Proceedings of the Ninth National Conference on Information Security。
[16]廖有祿，電腦犯罪者特徵剖析之探討，2000，二○○○年網際空間：資訊、法律與社會研討會論文集（一）。
[17]廖有祿，2001，電腦犯罪特性分析之研究，第六屆亞太安全會議論文集。
[18]鍾慶豐，2003，常見網路威脅(三)：威脅的種類, M. Young, The Technical Writer’s Handbook。
[19]蘇清偉，2002，網路犯罪入侵案件之數位證據蒐證研究，國立交通大學資訊管理研究所碩士論文。
[20]鐘瑩譯，Michael Mullins著，2004，處理安全事件七步驟，http://taiwan.cnet.com/enterprise/topic/0,2000062938,20088256,00.htm
[21]Deniz Sinangin，2002，Computer Forensics Investigations in a Corporate Environment，IEEE computer fraud & Security。
[22]Eoghan Casey, 2002, Handbook of Computer , Crime Investigation, ACADEMIC PRESS。
[23]ftp://idea.sec.dsi.unimi.it/pub/security/crypt/code/s-tools4.zip ---------------S-tools
[24]http://eventid.net/ -----------------------------------------------------------eventid.net
[25]http://is-it-true.org/nt/atips/atips155.shtml ---------------------微軟事件(event)說明
[26]http://linux01.gwdg.de/~alatham/stego.html ------------------------------------- JPHS
[27]http://support.microsoft.com/default.aspx?scid=kb;en-us;299475 ---------------------------------------------------------------------------微軟事件(event)說明
[28]http://winfingerprint.sourceforge.net/ -----------------------------------Winfingerprint
[29]http://www.accessdata.com/ ---------------------------------------------accessdata FTK
[30]http://www.anti-trojan.net/ ---------------------------------------------------anti-trojan
[31]http://www.astonsoft.com/ ---------------------------------------------PC-DoorGuard
[32]http://www.atstake.com/ ------------------------------------------------------pwdump2
[33]http://www.cerious.com/ -----------------------------------------------------thumbs plus
[34]http://www.cl.cam.ac.uk/~fapp2/steganography/mp3stego/index.html ------------- -------------------------------------------------------------------------------------------MP3stego
[35]http://www.crucialsecurity.com/ --------------------------------------------crucial ADS
[36]http://www.elcomsoft.com/prs.html -------------------------------------密碼還原程式
[37]http://www.eventreporter.com/en/index.php-----------------------------Eventreporter
[38]http://www.guidancesoftware.com -----------------------------------------------EnCase
[39]http://www.forensics-intl.com -----------------------------------------------Safeback , sfind與Advanced Password Recovery Software Toolkit
[40]http://www.foundstone.com/
[41]http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/fport.htm ------------------------------------------------Fport
[42]http://www.foundstone.com/resources/termsofuse.htm?file=ForensicToolkit20.zip------------------------------------------------------------------------------ForensicToolkit
[43]http://www.hoobie.net/mingsweeper/ ----------------------------------MingSweeper
[44]http://www.insecure.org/nmap/ ---------------------------------------------------Nmap
[45]http://www.jasc.com/ ----------------------------------------------------Quick View Plus
[46]http://www.jetico.com/ ----------------------------------------------------------BestCrypt
[47]http://www.moosoft.com/ ----------------------------------------------------The Cleaner
[48]http://www.pgpi.org/ -----------------------------------------------------------------PGP
[49]http://www.pyzzo.com/regdump/ ---------------------------------------------regdump
[50]http://www.snapfiles.com/get/pstools.html -------------------------------------ps-tools
[51]http://www.sysinternals.com/ --------------------------------------------------streams
[52]http://www.sysinternals.com/ntw2k/source/tcpview.shtml -------------TCP View
[53]http://www.WinGuides.com/ -------------------------------------------------RegView
[54]John Austen，2003，Some stepping stones in computer forensics，Information Systems Security ，vol 8 No.2 .
[55]Kuchta, Kelly J.，2002，Forensic Fieldwork: Experience Is the Best Teacher.，Information Systems Security ，Vol. 3 Issue 1, p29-33.
[56]Kuchta, Kelly J.，2002，Forensic Fieldwork: Experience Is the Best Teacher.，Information Systems Security ，Vol. 3 Issue 1, p29-33.
[57]Mark J. Biros & Thomas F. Urban II，Crime Online - Knowledge, Prevention and Detection (chapter 10)，Business & Legal Guide to Online Internet Law, Glasser Legal Works, N.J. USA,1997.
[58]New Technologies Inc.，1999，Computer Evidence Processing Steps，http://www.forensics-intl.com/evidguid.html.
[59]Philippsohn，2001，Trends in Cybercrime An Overview of Current Financial Crimes on The Internet，Computer &Security 20.
[60]Richard Power，2003，2002 CSI/FBI Computer Crime and Security Survey.
[61]Sammes、Jenkinson，2000， Forensic Computing- A Practitioner’s Guide.
[62]Timothy Wright，2000，The Field guide for investigation Computer Crime: search and seizure basic part three，security focus.
[63]Timothy Wright，2000，The Field guide for investigation Computer Crime: Overview of Methodology for the Application of Computer Forensics part two，security focus.
[64]Tohmas Rude，2002，Evidence Seizure Methodology for computer forensics crazytrain.com.