電腦法證查程式竄改痕[
【明報專訊】以電腦法證技術分析手機異常過程並不簡單,本報委託多名電腦法證及保安專家以多種工具及其他技術分析,分析時間接近一周,才可解構手機異常之謎。
熟悉電腦鑑證、曾於美國高科技罪案調查協會年會發表手機分析研究報告的黃景祥指,以法證技術調查手機,首先要了解案件性質,視乎情G做針對性調查。以Hazel的手機疑遭遙控或入侵為例,分析前要先了解有什麼情G會引致入侵,例如安裝不正常的程式?手機漏洞?先做前期判斷後再調查。 CFA consulting創辦人兼首席電腦法證調查師朱茵婷指出,先以Cellebrite及Oxgent兩種手機法證工具提取Hazel手機內所有資料,並確保提取時不被干擾及保持完整,避免因資料有差異而影響往後的分析。
她又指,提取資料後,可用法證工具與其他程式和技術分析手機的系統檔案、資料庫、應用程式及隱藏或被刪除的資料,分析內置的應用程式有否被竄改及新增惡意程式等痕[、手機有否被開放後門或其他漏洞的[象,以及有無任何異常的資料外送紀錄等,綜合各種證據再作判斷。