Please enable JavaScript.
Coggle requires JavaScript to display documents.
數位鑑識執法考題分類 - Coggle Diagram
數位鑑識執法考題分類
名詞解釋
MAC(Media Access Control)Address
Evidence Acquisition
Hidden Data
Data Carving
Computer-related Evidence
Software Write Blocker
Standard Operating Procedures(SOPs)
Live Acquisition
萃取
反鑑識(Anti-Forensic)
非對稱式加密法(Asymmetric Encryption)
BitLocker
Dynamic Link Library
WinPcap
MD5
SQLite
「物聯網」(Internet of Things, IOT)
Locard’s exchange principle
Bit stream copy
Write blocking device(Write blocker)
File slack space
Chain of custody
Message Digest
Dead Analysis
數位鑑識
何謂萃取
分類
網路鑑識(Network Forensics)
行動鑑識(Mobile Forensics)
資料鑑識(Data Forensics)
雲端鑑識(Cloud Forensics)
電腦鑑識(Computer Forensics)
軟體鑑識(Software Forensics)
資安鑑識(Cyber Forensics)
異同處
考2次
詳述進行邏輯萃取階段的步驟內容
保管鏈
寫出證物保管鏈的主要目的
如何維護好證物保管鏈
鑑識工具
EnCase
試利用EnCase所提供的EnScript Language來撰寫一個數位證據自動化搜尋擷取程式,以便試圖在這些檔案內容中找到有:桶子、公機、過水、或漂白等關鍵字,並可顯示含有這些關鍵字的該列完整內容於輸出畫面上(假設這些檔案存在某一Case檔案內容並已經被開啟)
FTK
保全數位證據往往必須製作映像檔,請敘述如何使用 FTK 製作數位證據之映像
檔?
鑑識方法
Cookie
鑑識人員使用 Cookie 可以獲得那些有用的資訊?
活體鑑識
何謂活體鑑識?並申論活體鑑識的內容與重要性及進行活體鑑識須注意之事項。
鑑識人員與證人的訴訟地位比較,我國與大陸法系國家(如法國、德國)和海洋法系國家(如英國、美國)有何差異?
試說明數位證據之證據力與證明能力之要件,並舉例說明如何因採證程序之不當,使得證物雖有證明能力卻失去證據力
試以磁碟機為例,說明採證流程,確保在採證過程中能夠保持證物之完整性以免失去證物之證據能力
請問鑑識人員如何證明複製的數位證
據與原始證據完全相同?
請說明 VoIP 網路電話詐欺犯罪之類型、通訊管道、鑑識程序及犯罪組織結構等,統合繪出 VoIP 網路電話詐欺犯罪流程及偵查鑑識流程?
種類
數位多媒體鑑識
數位多媒體鑑識有兩個主要任務:防偽鑑定及來源鑑定,請說明數位音訊鑑識內容及方法。
數位多媒體鑑識有兩個主要任務:防偽鑑定及來源鑑定,請說明數位影像鑑識內容及方法。
雲端鑑識
在雲端硬碟服務鑑識方面,請以 Google Drive 為例,任舉四種操作模式下,說明會留下那些殘餘數據在用戶端設備上。
目前雲端安全聯盟的事件管理與鑑識工作小組發布了「Mapping the forensic standard ISO/IEC 27037 to Cloud Computing」,請說明在數位證據處理方面,ISO/IEC 27037 如何映對到雲端鑑識
若犯罪調查涉及雲端服務時,為何傳統的電腦鑑識無法完全適用於雲端環境,主要的區別何在?
請以繪製雲端鑑識中資料(證據)蒐集流程的示意圖,並作必要之說明。
社群謀體鑑識
請以 Facebook 為例,說明社群網站數位證據的特性及鑑識的方法
智慧型手機鑑識
智慧型手機鑑識取證可分為實體取證(physical extraction)及邏輯取證(logical extraction),試分別說明實體取證及邏輯取證的內涵與功用。
物聯網(Internet of Things, IOT)
何謂「物聯網」(Internet of Things, IOT)
為何物聯網鑑識是一個重要的數位鑑識課題
請就證據來源、證據資料型態、網路種類、調查對象等方面,比較傳統數位鑑識和物聯網鑑識之異同
何謂數位鑑識?試申論數位鑑識在犯罪偵查工作的重要性
盡量不破壞原證物是鑑識的重要原則。如果手機的 SIM 卡被鎖,請問在不破壞原手機的原則下,如何進入系統蒐證?
請問鑑識人員應該可以在該行動裝置上蒐集到那些重要證據資料?
現場重建
現場重建後的報告中,通常會做 Timeline analysis,Relational analysis 以及 Functional analysis 三種分析報告,請舉例說明此三份分析報告的意涵。
現場重建(reconstruction of crime)步驟的內容與目的為何?
假設在犯罪現場查扣一台筆電與一個 USB 介面之外接式硬碟,初步檢查發現此外接式硬碟內容含有犯罪證據,而筆電內沒有犯罪證據。因查扣當時該硬碟並未連接筆電,所以某甲雖承認該筆電是他所有,但推說硬碟是行蹤不明的某乙所有,且該硬碟從未連上筆電,以此主張他和犯罪事件無關。面對某甲陳述,請問你會採用那些數位鑑識步驟來證明某甲所述為非?(假設筆電使用 Windows 作業系統。回答本題
時請說明該擷取那些證據,使用那些工具以及採取那些步驟。)
偵查/鑑識時遇到難題的處理
試申論已刪除資料可能殘留於檔案系統的區域及其回復方法。
當鑑識人員欲取得已關機電腦內硬碟檔案資料時,應如何做?
在何種情況下,偵查或鑑識人員所取得之數位證據將會適用到排除法則
在法庭上如何證明偵查或鑑識人員所取得之數位證據是不被汙染過的?
在個人電腦DOS作業環境下,鑑識人員經由輸入一條指令和參數,以便可以找出並開啟被嫌犯所隱藏與唯獨檔案或子目錄名稱等數位證據,試寫出此指令與其參數
詳述進行邏輯萃取階段的步驟內容
試利用EnCase所提供的EnScript Language來撰寫一個數位證據自動化搜尋擷取程式,以便試圖在這些檔案內容中找到有:桶子、公機、過水、或漂白等關鍵字,並可顯示含有這些關鍵字的該列完整內容於輸出畫面上(假設這些檔案存在某一Case檔案內容並已經被開啟)
試說明為何網路與電腦等設備一段時間後,會產生系統時間不一致的情形
試說明如何解決網路與電腦設備系統時間不一致之情形,使設備時間可以保持正確的狀態
對於網路交換器設備,試說明兩種常用的方式進行即時數位證據的蒐集,並比較優缺點
若透過網際網路解決系統時間不一致問題,該公司防火牆及電腦如何設定
Linux環境下,試說明如何完成整顆硬碟或partition備份及針對檔案系統進行差異性備份
請以密碼學的學理,來說明如何
能達成「數位證據」的完整性
鑑識人員使用 Cookie 可以獲得那些有用的資訊?
試以磁碟機為例,說明採證流程,確保在採證過程中能夠保持證物之完整性以免失去證物之證據能力
請任舉四種 Web proxy,並說明如何偵查 Web proxy 之數位證據
數位證據
當數位證據在電腦實驗室內做鑑驗時,會採用原始證據還是複製證據來為之?請說明理由
在何種情況下,偵查或鑑識人員所取得之數位證據將會適用到排除法則
在法庭上如何證明偵查或鑑識人員所取得之數位證據是不被汙染過的?
在個人電腦DOS作業環境下,鑑識人員經由輸入一條指令和參數,以便可以找出並開啟被嫌犯所隱藏與唯獨檔案或子目錄名稱等數位證據,試寫出此指令與其參數
指出並說明電腦證據的兩個種類與其內涵
請從物理狀態、法律和犯罪等3個觀點,來闡述數位證據的意義
對於網路交換器設備,試說明兩種常用的方式進行即時數位證據的蒐集,並比較優缺點
請任舉四種 Web proxy,並說明如何偵查 Web proxy 之數位證據
以磁碟的檔案系統結構(file system structure),說明數位證據的來源及其證據價值。
請問鑑識人員如何證明複製的數位證
據與原始證據完全相同?
數位證物的特性
由於數位證據的脆弱特性,請說明如何確保潛在數位證據之完整性(Integrity)、真實性(Authenticity)與證據調查是否具公信力?
請以 Facebook 為例,說明社群網站數位證據的特性及鑑識的方法
同一性
何謂數位證據之同一性(Identity)
證據能力/證明力
數位證據之同一性(Identity)其與證據能力及證明力有何關聯性?
試說明數位證據之證據力與證明能力之要件,並舉例說明如何因採證程序之不當,使得證物雖有證明能力卻失去證據力
試以磁碟機為例,說明採證流程,確保在採證過程中能夠保持證物之完整性以免失去證物之證據能力
完整性
請以密碼學的學理,來說明如何
能達成「數位證據」的完整性
揮發性
說明於 Windows 中之「確認系統時間」、「目前運行中程序」、「目前開啟檔案」、「與何主機(Host or IP address)相關」、「目前登入使用者」及「目前開啟連結與網路狀態」等項目為何為「易揮發證據」?
數位證據:揮發性(Volatile)與非揮發性(Non-Volatile)的不同處
在路由器(Router)之路由表(Routing Table)中所蒐集到的證據究屬於揮發性或非揮發性?
何謂「易揮發證據(Volatile evidence)」?請以最常見的 Windows 作業系統為例,列舉易揮發證據並說明其在犯罪偵查上的可能用途。
數位證據之證據方法有那些?
鑑識程序/法律
數位證據鑑識標準程序(Digital Evidence Forensics
Standard Operating Procedure, DEFSOP)
以數位證據鑑識標準程序四大階段(原理概念階段、準備階段、操作階段、報告階段)為基礎,及參考國際資安鑑識相關標準(如ISO/IEC27037/27041/27042/27043 等)
如何建立一套完整行動鑑識標準作業程序(DEFSOP for Mobile Forensics, DEFSOP-MF)?
從資安鑑識角色(含事前預警系統+事中反應系統+
事後復原系統等)
請用相關國際資安鑑識標準(如 DEFSOP/ISO 27042/27050
如何有效偵查及防制上述個資外洩犯罪事故,
並提高其數位證據能力及符合資安鑑識基本原則(CIAC Principles)?
NIST Cybersecurity Framework
IPDRR五大功能應用(識別(Identify)、保護(Protect)、偵測(Detect)、應變(Respond)、復原(Recover)
如何有效地降低勒索病毒及其他資安事件對企業營運的影響,並有能力偵辦該網路犯罪事件,進行事前相關的風險評估、防護措施建立、事中應變策略制定,以及事後的修復與檢討,以提高其營運的持續性與恢復力?
電信法/第二類電信事業管理規則
網際網路接取服務,其電信通信紀錄除用戶識別帳號外,包含有哪些項目,試說明之
試說明這些項目的至少保存期
電腦處理個人資料保護法
制訂該法案的目的
說明99年修正的主要項目與目的
刑法
妨害電腦使用罪
何種罪行屬於非告訴乃論
ISO/IEC 27037
處理數位證據(Digital Evidence)的 4 個主要步
驟,並請略為說明之
目前雲端安全聯盟的事件管理與鑑識工作小組發布了「Mapping the forensic standard ISO/IEC 27037 to Cloud Computing」,請說明在數位證據處理方面,ISO/IEC 27037 如何映對到雲端鑑識
ISO/IEC 27037 為一國際共通標準,提供了數位證據(Digital Evidence)處理的參考指引,請列出本指引內所包含的主要工作及說明各項工作的內容。
ISO/IEC 27037 的定義,論述數位證據處理的三個基本原則(需求)
電腦犯罪偵查
試申論四類人員的任務分工與內涵,以建立完善電腦犯罪偵查機制
偵查人員(Investigator)
鑑識人員(Forensic Examiner)
第一線人員(First Responder)
管理人員(Manager)
試申論每階段的工作內涵與方法
Evidence Searching
Phase
Event Reconstruction
Phase
System Preservation
Phase
電腦犯罪
以網路作為犯罪工具
以網路空間作為
犯罪場所
以網路及連結在網路上的電腦作為犯罪的攻擊目標
請定義此三大類型的電腦犯罪,並各舉一例說明之
網路電話 VoIP(Voice Over Internet Protocol)
請說明 VoIP 網路電話詐欺犯罪之類型、通訊管道、鑑識程序及犯罪組織結構等,統合繪出 VoIP 網路電話詐欺犯罪流程及偵查鑑識流程?
說明如何運用犯罪偵查理
論結合到 VoIP 網路電話詐欺犯罪偵辦機制
與數位鑑識的連結
何謂數位鑑識?試申論數位鑑識在犯罪偵查工作的重要性
何謂「易揮發證據(Volatile evidence)」?請以最常見的 Windows 作業系統為例,列舉易揮發證據並說明其在犯罪偵查上的可能用途。
網路攻擊/犯罪
透過資安鑑識及系統性的資安風險管理,並結合 NIST CybersecurityFramework(如ISO 27110:2021)的IPDRR五大功能應用(識別(Identify)、保護(Protect)、偵測(Detect)、應變(Respond)、復原(Recover))
如何有效地降低勒索病毒及其他資安事件對企業營運的影響,並有能力偵辦該網路犯罪事件,進行事前相關的風險評估、防護措施建立、事中應變策略制定,以及事後的修復與檢討,以提高其營運的持續性與恢復力?
偵測預防設備
防火牆
若透過網際網路解決系統時間不一致問題,該公司防火牆及電腦如何設定
扣押搜索
若須扣押整套電腦設備,試問如何維持證物扣押前的完整性?
請以電腦系統處於開機與關機的兩種不同狀態來說明扣押證物的處理過程。