鑒真數位鑑識流程

最資深的資安鑑識經驗,提供最專業的數位鑑識分析服務與專家證人諮詢


關於 ISO/IEC 17025

ISO/IEC 17025是由一份ISO/IEC邀請全世界的實驗室專家共同制定之國際標準,內容主要對於實驗室執行活動(測試、校正或是抽樣等)並產出有效結果或可靠數據之一般要求事項,適用於政府機關、學術研究單位或私人企業等執行實驗室活動之組織機構。


關於 ISO/IEC 27001

ISO/IEC 27001其名稱為《資訊科技—安全技術—資訊安全管理系統—要求》(Information technology — Security techniques — Information Security Management Systems — Requirements),又稱ISMS,是一套資訊安全管理的國際標準。內容主要針對資訊安全管理系統之架構、實施、維護以及持續改善上的要求,目的在於透過管理層及技術層的配合,幫助組織確保資訊資產的機密性、完整性及有效性。

鑒真數位鑑識實驗室,經財團法人全國認證基金會(Taiwan Accreditation Foundation, TAF)評鑑後通過「ISO/IEC 17025實驗室認證」認證,並於2022年取得「ISO/IEC 27001 資訊安全管理系統驗證」。我們的數位鑑識服務流程謹依據實驗室認證規範,專業項目階段性評估與鑑識分析,提供您可信賴的鑑識分析結果;國際認定之實驗室認證,使鑑識結果及方法流程可於國際間ISO規範之各實驗室間相互承認。提供最專業的數位鑑識分析服務與專家證人諮詢,是您的最佳決策。 我們嚴謹依據實驗室認證規範,提供您可信賴的鑑識分析結果。

鑑識服務

已確定遭遇資安事件,且清楚目標時,依委託鑑識目標進行完整鑑識分析

當接受到客戶端委託後,我們會開始與客戶訪談並整理目前案子的相關重要線索,此階段主要在於瞭解案件的搜尋範圍及關鍵證物的掌握度,並評估目標證物的硬體設備/作業系統/應用系統/資料貯存方式等,以便有效判斷適用的工具及執行的方法。
根據客戶委託目的及所蒐集情報,實際準備可行的證據蒐集軟硬體工具,將考慮公司伺服器營運的不可中斷性及事件本身的敏感性等因素調整可行的執行計畫。
遠端或現場進行相關證物的採集,建立嚴謹監護環 (Chain of custody) 程序,採集過程中需保護數位證物資料不受到破壞,將原始證物製作成映像檔並比對其摘要檔的一致性,部份系統在不可中斷的情況下則依案例採集系統執行中的各相關資訊及系統關鍵重要檔案,記錄所有的採集動作並維持監護環 (Chain of custody) 程序。
將原始證物作好適當的保存,持續監護環 (Chain of custody) 程序,針對代表原始證物的映像檔進行資料搜尋及分析,將視每個案例進行不同程度的下列分析工作:包含刪除資料或破損檔案的回復及搜尋、特定資料格式的解析(例如: email/web activity/registry/log 等) 、部份加密檔案破解、硬碟未分配磁區或隱藏檔案的重要資訊搜尋。
依據Step 4 的分析結果交相比對其關聯性,並將搜尋到的數位證據資料擷取及提供說明,若分析的結果指向需要搜尋其它未採集的證物,則回到步驟3再針對其它目標證物進行採集,一樣保持監護環 (Chain of custody) 程序,最後將所有發現結果滙整寫成專案鑑識報告。
若客戶案件進入司法程序,則鑒真數位可依客戶需求對其鑑識的發現結果以專家證人的方式作說明,或以客觀的專家證人方式去解釋其他需要數位證據說明的案件,此步驟則視客戶實際需求來提供服務。

快篩服務

有鑒於一般公司在遇到敏感資訊緊急事件時,並不清楚所需調查的資料範圍及人員涉入程度,甚至不清楚是否主要的貯存電腦可找到相關的數位證據,而希望能有一個初步的調查結果並提供高階主管可做進一步決策,因此我們提供快篩分析服務,讓公司在基本的預算範圍內可立即進行專業的快速篩檢,有一個快速的輪廓後清楚是否要進行更進一步的鑑識調查。

資安健檢服務

為未遭遇資安事件前之檢測動作。預防性檢測是否存在可疑之惡意程式及資安漏洞。包含:資訊主機整體架構及帶有敏感資料位置釐清、資安防護作為實際檢視及抽查、數位證據保全作為實際檢視及抽查,並在檢查結束後提供各項目之結果與建議報告。

加密資產追查鑑識服務

加密貨幣市場日趨蓬勃,卻也成為不法人士盯梢的領域,2019年幣安被盜7,074個 BTC,韓國交易所 Upbit 34.2萬枚 ETH 被盜,而在民間,加密貨幣詐騙類事件更是劇增,目前警調機關、交易所、金融機構迎來迫切的挑戰是加密貨幣的追蹤、取證、認定、釐清,鑒真首創全台加密貨幣追蹤鑑識服務,整合深耕十餘載的數位鑑識能力及堅實的區塊鏈新技術,將提供給交易所、金融機構及執法機關具有法律效力的鑑識報告。

創新技術

加密貨幣資金流圖譜
產出錢包地址的資金流圖譜,視覺化呈現被盜竊資金的脈絡走向,提供資產追查線索。



釐清失竊原因
遭駭客有意攻擊智能合約的漏洞,因而導致加密資產移轉。 伺服器遭駭客攻擊,因而丟失私鑰而造成的加密資產遭竊盜。 無意授權不明網站,觸動智能合約而致的加密資產移轉。 純粹於釣魚網站輸入帳號密碼,因而私鑰被盜取,因而導致加密資產移轉。

支援各種幣及NFT
除市面常見主流加密貨幣外,亦提供NFT失竊或詐騙的相關追查鑑識報告。

自動聚焦交易所地址
透過大數據及機器學習的演算,自動聚焦交易所地址,並追溯該筆不法加密資產是否有經由交易所服務,而後提出證據,執法人員將透過交易所鎖定實名認證的錢包地址,以獲得更多訊息。

監控可疑錢包
協助監控可疑錢包,提供該錢包之重要資訊如首次創建時間、最後交易時間、交易頻率,資金來源分布及出金走向分佈,實時追查加密資產動向,產出可作為證據的專業報告。

為何選擇鑒真

豐富情資掌控
多年與檢、警、調機關密切合作,並代理全球知名Virustotal情資、金流追蹤鑑識軟體,包含Chainanalysis、Cyphertrace,擁有大量惡意錢包地址、惡意域名、惡意IP等情資,可快速掌握犯罪樣態。

通過ISO17025實驗室證照及ISO 27001國際資安標準
本實驗室通過ISO17025實驗室認可及ISO 27001檢驗資訊安全管理系統標準,嚴謹恪守國際標準,執行事件應變、事件調查、證據保全、鑑識分析,提供準確、可靠之鑑識結果與報告。

電子郵件鑑識服務

不可否認,電子郵件已成為公司對外溝通的重要方式之一,由於郵件系統的便利性使得許多公司重要的訂單/報價/契約/授權證明/付費資訊等均藉由電子郵件傳遞,鑒真數位公司的成員本身曾經開發過許多大型的郵件稽核系統,對於各類型的郵件系統架構有非常清楚的瞭解,因此在鑑識服務中可特別針對電子郵件證據的檢視及 Web mail 郵件檢視及刪除郵件檢視等提供專業鑑識服務。 電子郵件使用由來已久,早期因為協定設計的不嚴謹性,導致許多有心人士藉由電子郵件標頭的偽裝來發送黑函或不實的消息,透過郵件鑑識服務將可具體瞭解發送端的來源,若發送者的電腦屬於公司的管轄範圍,則經由專業工具的解析可蒐集到發送者原始編輯的具體數位證據,即使是使用外部的 Web Mail (例如: Hotmail/Gmail/Yahoo mail 等)仍舊有極大的機會搜尋到關鍵證據提供給管理者作進一步決策。

侵權鑑識服務

訴訟往往是公司遭遇到緊急事故後,經過審慎的評估及權衡得失後,最後不得已才採取的方式,但從確保公司權益的角度來看,許多案件在掌握有利證據後往往不必進入訴訟程序,就可獲得公司的最佳利益,例如:當您掌握侵權方的實質證據後,可藉由部份的事前存證告知動作,將可有效嚇阻侵權人員進一步去進行偒害公司的行為,造成不必要的公司損失及訴訟花費,以爭取公司實質權益。

更有許多委託鑑識的案例,實際上均是著重於公司內部緊急資安事件的鑑識調查,此類的鑑識案件,往往必需儘量低調且避免案件曝光,以減少不必要的困擾,因此其目的著重於發現事實真相,以方便經營者做進一步的管理決策,而非進行法律訴訟程序。

駭客入侵調查

專業超過10年以上的駭侵事件調查經驗,可協助單位於遭遇此類事故時,於最短時間內作好資安緊急應變的必要程序及正確動作,避免事件持續擴大且嚴謹保留重要數位證據,協助調查及還原系統被駭的主要根因,並建議如何防護及改善現有資安之漏洞。

資料救援服務

很多情況下公司可能需要資料救援服務,對於因為硬碟損毀導致部份重要檔案破損無法開啟或不慎刪除重要資料或中毒引起的資料遺失等, 鑒真數位則利用專業的工具及技術來檢視損毀的狀況並依據狀況來救回所有完整的資料,對於指定已毀損的重要文件,則可利用鑑識的專業搜尋技術找到貯存在硬碟的實體位置, 將其重組並回復為當初部份或完整的檔案。少部份公司可能會遭遇到重要文件加密但因故遺失密鑰的狀態,則可諮詢本公司專業顧問依檔案加密的強度,來決定可能的解決方式。

硬碟資料救援
本公司具備無塵工作設備可在 Class 100 之無塵環境中進行硬碟開盤之進階資料救援,支援各式 硬碟 IDE/SATA II/SATA III/SCSI/SAS 等介面,包含各種型號之硬碟,對於磁碟陣列則可支援 RAID 0/1/3/5/6/10 等不同組態之資救救援,且本公司為國內唯一使用鑑識級設備進行資料救援並定期授課教學之專業公司。

手機資料救援
本公司為國內手機資料救援之軟硬體設備代理商,可處理手機照片/簡訊/通訊錄/聊天紀錄(line/skype/whatsapp..)等各種手機資料刪除之救援服務,將針對手機晶片/SIM/手機記憶卡等各項資料貯存保護區塊,進行資料回復救援。另針對各智慧型手機內之APP程式可提供程式鑑識檢測服務,確認是否具有後門及各項資料竊取之惡意程式模組。