調查局三等申論題
114年
[資訊科學組] 資訊安全實務
第 一 題
📖 題組:
一、針對數位證據分析技術實務,請回答下列問題:
一、針對數位證據分析技術實務,請回答下列問題:
📝 此題為申論題,共 2 小題
小題 (一)
假設調查一宗駭客入侵事件,對嫌疑人的電腦進行數位鑑識分析,請說明應優先分析的三項證據類型。(15 分)
思路引導 VIP
看到數位鑑識與「優先分析」,應立刻聯想 RFC 3227 規範的「資料揮發度順序(Order of Volatility)」原則。針對駭客入侵事件,解題時須聚焦於最易流失且能反映「當下攻擊狀態」的證據,依序鋪陳記憶體、網路狀態至系統日誌,並帶入調查局實務上重視的證據保全程序。
小題 (二)
在記憶體(RAM)鑑識中,試舉三例說明其可能取得那些有價值的資訊。(10 分)
思路引導 VIP
看到此題,應立即聯想「揮發性記憶體(Volatile Memory)」的特性,也就是它儲存了系統「當下正在運行或處理」的資料。解題策略是列舉出三種在傳統硬碟(非揮發性)鑑識中難以取得,但對案件調查(如還原攻擊軌跡、突破加密限制)具備決定性價值的動態跡證。
數位鑑識與記憶體分析
💡 依證據揮發性順序採證,優先擷取動態資訊以還原駭客攻擊現場。
| 比較維度 | 揮發性資料 (Volatile) | VS | 非揮發性資料 (Non-volatile) |
|---|---|---|---|
| 儲存媒體 | 暫存器、RAM | — | 硬碟、SSD、光碟 |
| 斷電後狀態 | 資料立即消失 | — | 資料持續保存 |
| 內含價值 | 當前連線、運行進程 | — | 系統檔案、歷史日誌 |
| 採集優先度 | 最高優先 (First) | — | 次要優先 (Later) |
💬數位鑑識必須遵循先揮發、後持久的原則,以免關鍵動態事證消失。
