刑事警察局近日公布,其數位暨資安鑑識實驗室經「全國認證基金會(Taiwan Accreditataion Foundation, TAF)審核通過 ISO/IEC 17025「Windows 程式行為分析」認證,率先成為全球第一個獲得此認證的執法機關,也是目前唯一一個通過此項認證的實驗室。
刑事警察局數位暨資安鑑識實驗室,是在 95 年 4 月建立科技犯罪防制中心,同時於其下科技研發科成立「數位鑑識實驗室」,負責處理電腦主機及行動電話等數位裝置的採證鑑識分析,後經法務部高檢署於 103 年選任為數位鑑識概括授權鑑定機關,符合刑訴法囑託鑑定規定,並於105年通過ISO/IEC 17025認證項目「資訊重現(刪除資料與還原、關鍵字蒐尋)」,提高數位證物在法庭上的證據能力。而為進一步強化資安事件的調查與鑑識分析能量,再於 106 年增設「資安鑑識實驗室」,專責處理駭客攻擊、LOG 分析、程式行為分析與手機漏洞檢測等重大資安事件。
刑事局表示,常見的駭客攻擊如社交工程電子郵件、木馬病毒或是勒索軟體,都是透過惡意程式進行破壞電腦系統檔案或是與遠端中繼站連線進行控制或竊取資料,而「Windows 程式行為分析」就是應用於資安事件調查中的惡意程式分析。
▲ Windows 程式行為分析流程。(Source:刑事警察局)
對此,刑事警察局資安鑑識實驗室將分析流程分為三階段。第一階段是準備工作,將可疑程式樣本進行 Windows 程式之雜湊值、簽章及加殼查驗;第二階段是檔案行為分析,意即使用模擬環境分析檔案與註冊表之新增/刪除/修改情形及執行程序。
至於第三階段則是網路連線分析,也就是分析對外檔案傳輸、查詢網域名稱及連線IP。此標準化分析方法經 ISO/IEC 17025 認證通過,為全球首創,其不僅可以瞭解惡意程式對於作業系統的影響、感染方式與破壞程度,更可以分析異常對外連線情形,進而溯源偵查駭客來源與阻斷攻擊。
(首圖來源:刑事警察局)
