調查局三等申論題 114年 [資訊科學組] 資訊安全實務

第一題

📖 題組：
一、針對數位證據分析技術實務，請回答下列問題：

📝 此題為申論題，共 2 小題

小題 (一)

假設調查一宗駭客入侵事件，對嫌疑人的電腦進行數位鑑識分析，請說明應優先分析的三項證據類型。（15 分）

思路引導 VIP

看到數位鑑識與「優先分析」，應立刻聯想 RFC 3227 規範的「資料揮發度順序（Order of Volatility）」原則。針對駭客入侵事件，解題時須聚焦於最易流失且能反映「當下攻擊狀態」的證據，依序鋪陳記憶體、網路狀態至系統日誌，並帶入調查局實務上重視的證據保全程序。

🤖

AI 詳解

AI 專屬家教

【破題】依據國際標準 RFC 3227 及 NIST SP 800-86（數位鑑識指南）之規範，數位證據之保全與分析應嚴格遵循「資料揮發度順序（Order of Volatility）」，優先處理最易消滅或遭竄改的揮發性資料（Volatile Data）。針對駭客入侵事件，為快速還原攻擊軌跡並確保證據效力，應優先分析以下三項證據類型：【論述】

小題 (二)

在記憶體（RAM）鑑識中，試舉三例說明其可能取得那些有價值的資訊。（10 分）

思路引導 VIP

看到此題，應立即聯想「揮發性記憶體（Volatile Memory）」的特性，也就是它儲存了系統「當下正在運行或處理」的資料。解題策略是列舉出三種在傳統硬碟（非揮發性）鑑識中難以取得，但對案件調查（如還原攻擊軌跡、突破加密限制）具備決定性價值的動態跡證。

🤖

AI 詳解

AI 專屬家教

【破題】記憶體（RAM）鑑識屬於揮發性資料（Volatile Data）蒐集與分析的核心環節。依據 NIST SP 800-86 數位鑑識指南，記憶體中保存了系統運行當下的即時狀態，能提供傳統死機鑑識（Dead-box Forensics）無法取得的動態跡證。其高價值資訊舉例如下：【論述】

📝 同份考卷的其他題目

查看 114年[資訊科學組] 資訊安全實務全題

第 一 題

小題 (一)

思路引導 VIP

小題 (二)

思路引導 VIP

📝 同份考卷的其他題目

第一題