地鼠
的故事
記得20多年前在金門服役的時光,提到了金門就令人想
到坑道內生活點滴,伴隨著坑內昏暗橘黃色燈光,成為軍旅經驗中主要的記憶不可磨滅。在六零年代尾聲,海峽兩岸仍處於半緊張的局勢,由於任務編組及戰備需
求,我的辦公室也兼具臥室的功能,位處於坑道底層的倒數第二間。在我隔壁那間斗室,也就碉堡中最深層的那間屋子內裡,總是夾雜著潮溼混濁的空氣和那永遠散
去又產生的嗆人的國光牌二手軍煙味道,這間屋子是碉堡的通信中樞擔負著部隊與隊部之間無線電聯絡的重任,定時地傳出滴答、滴答的摩爾斯電碼的報務拍擊聲。
在一群同僚中我永遠不會忘記那位臉色蒼白到像是永遠沒有曬過太陽,嘴巴尖尖的雙頰削瘦像貌長的像地鼠的兄弟,他是本單位的譯電士。每當熱鬧如節慶鞭炮聲的
滴答、滴答的報務收發音結束時,就輪到他開始工作了,忙著將剛剛由報台抄收下電文,必須在有限的時間內解譯完成,呈交指揮官並且回報總部以確認命令正確抵
達。
時光飛快的逝去海峽的局勢較變了,原先敵我雙方的對峙似乎不存在了。當年的碉堡變成了知名的觀光景點,電台及我的斗室也快樂地換裝成情人咖 啡座及卡拉OK。當年才剛剛開始學步的個人電腦科技,轉變成新世代的生活主題;從未想像過的電腦通信技術,將整個世界串連起來了。10年前才開始萌芽的網 際網路應用已普遍的跨入都市鄉村大街小巷內,每一個角落,而且還由有線電路連接,朝向無線與行動科技邁進,實在符合了科技進步一日千里的說法。
道高一尺魔高一丈,犯罪又多了新的型態,專家們稱作電腦犯罪是一些懂的操作電腦的知識份子,利用電腦技術來危害治安,這些人善 於利用網路的隱藏性,從事 如色情活動 (美其名為援助交際),或是利用網路之便捷性販賣盜版、禁葯、軍火… … 等 違禁品買賣或是藉網路不易追查來源特性從詐欺… … 等 犯罪行為。為了維護國家安全及社會安寧,檢警及情治調查人員必需要使用更進步網路封包擷取解譯設備 (又稱為網路監聽設備),來追緝罪犯將之繩之以法。
因緣際會我退伍從事了20多年電腦設計工作,誤打誤撞的進入了數位鑑識或者稱作電腦鑑識科學研究領域,和當年的地鼠弟兄從事類似性質的工 作。
所謂電腦鑑識就是將擷取到的電磁紀錄,轉換成人類可以明瞭的語言文字。作法是利用電腦網路設備,並連在網路上擷取廣播封包,先復製下原始封 包,之後再依每一封包的特性加以分類,還原先後次序、儲存、同時並將分類後的封包依所知的規則 (Protocol),予以解譯成明碼儲存在硬碟中。隨時供使用者備查,當然這個工作不是用人工來直接解碼。而是寫出一些程式用電腦程式來自動執行解碼, 完成分類及儲存等工作。
電腦在網路上傳送的封包信息,常見的至少有500 ~ 600種,以電子郵件來說;依POP3 (寄入郵件)、SMTP (寄出郵件)分為二大類、在這二大類之下又可分至少10多種小型不同的子項,各自擁有其不盡相似的訊框模式,以時下最流行的網頁郵件來說;更是依 ISP 或者是提供服務業者之不同,而各有千秋各有各之不同訊框規範。
在解譯封包工作中常常會遭遇到在課本上沒有學過的規格,而世界上也找不到完整的文獻來記載說明這些規格,甚至於連產生這些封包的軟体都是我 們未曾見過或未知規格的應用軟体。因此我們得像大海撈針般提起信心,鼓起勇氣靠著拼大型拼圖般的方法,一點一點盲人摸象般將真實湊出來,設法還原到原狀。 再重新寫出原始規格,找出規則。有時候我們會遭遇到一些困境。畢竟,我們是利用還原工程來解譯資訊,我們無法向原設計者請益,只能靠己知的知識儘量去假 設。偶爾也會因由於不同的 E-Mail 收發軟体或是 FTP 或是即時通信軟体在不同的網路環境或架構下,封包或訊框格式會產生不同結構而發封包解譯凸槌的事件。在此一狀況下只好重建模擬環境找出原因改進程式或者是 硬体裝置。畢竟這些產生需解譯封包的應用程式,經過使用著長期實用建議而不斷改進完成地,將各種網路架構上所遭遇的困難予以修正完成。
如同刑事鑑定泰斗 李昌鈺 博士所說過的話 『每顆子彈在製造過程中,或者是擊發後都會在物理上產生工具痕,只要依工具痕就有機會找到來源,追出真象』。數位鑑識技巧亦同,每個不同應用軟体或者是設 備,產生的封包亦會具有其獨特的工具痕。當我們利用一些方法鑑別出封包其包含的工具痕時,就幾乎可以確定我們可以完成正確解譯還原此一規格封包,無論是網 頁郵件(Web-mail)、FTP、Telnet、IM、甚至於 VOIP、影像… …等。還有另一項令我們覺得麻煩及吃力的工作,為我們不但要解譯封包還要將其納入資料庫中管理、備查、因此資解譯結果,常需做格式轉換以便資料正確呈現, 非常複雜。
這幾年最令我及幾位共同參與數位鑑識技術研究同仁,著迷於此道的原因,並不是由於我們可以借此窺探別人的隱私及秘密。而是電腦 科技博大精深,有太多太多種的封包規格需要解析。因此每天都要看很多專業知識的書籍,或是必須閱讀許多原文電腦文獻,學習其中的技術,必須對於每個需要解 析的封包產生技術及格式,澈底了解、熟悉、融會貫通才能寫出程式、完成設備研究工作。
曾有人問我,為什麼你們一頭栽下去如痴,如狂的研究,毫無怨言?因為我們一旦想到我們設計出來的設備,能夠供給如同 李昌鈺 博士一般的電腦神探,為維護國家及社會安全,人類尊嚴盡一番心力,所有的辛勞皆一掃而空。
回首前塵,光陰似箭三年來的研究時光過去了,值得欣慰的是;愈來愈多的機關及組織,開始重視電腦鑑視科學的發展了。也有愈來愈多的後進參加 此一領域的研究計畫,有朝一日電腦鑑識科學,終將如同法醫學般成為一項專門科學。
2004年9月11日風雨剛開始寧靜時就此擱筆。
時光飛快的逝去海峽的局勢較變了,原先敵我雙方的對峙似乎不存在了。當年的碉堡變成了知名的觀光景點,電台及我的斗室也快樂地換裝成情人咖 啡座及卡拉OK。當年才剛剛開始學步的個人電腦科技,轉變成新世代的生活主題;從未想像過的電腦通信技術,將整個世界串連起來了。10年前才開始萌芽的網 際網路應用已普遍的跨入都市鄉村大街小巷內,每一個角落,而且還由有線電路連接,朝向無線與行動科技邁進,實在符合了科技進步一日千里的說法。
道高一尺魔高一丈,犯罪又多了新的型態,專家們稱作電腦犯罪是一些懂的操作電腦的知識份子,利用電腦技術來危害治安,這些人善 於利用網路的隱藏性,從事 如色情活動 (美其名為援助交際),或是利用網路之便捷性販賣盜版、禁葯、軍火… … 等 違禁品買賣或是藉網路不易追查來源特性從詐欺… … 等 犯罪行為。為了維護國家安全及社會安寧,檢警及情治調查人員必需要使用更進步網路封包擷取解譯設備 (又稱為網路監聽設備),來追緝罪犯將之繩之以法。
因緣際會我退伍從事了20多年電腦設計工作,誤打誤撞的進入了數位鑑識或者稱作電腦鑑識科學研究領域,和當年的地鼠弟兄從事類似性質的工 作。
所謂電腦鑑識就是將擷取到的電磁紀錄,轉換成人類可以明瞭的語言文字。作法是利用電腦網路設備,並連在網路上擷取廣播封包,先復製下原始封 包,之後再依每一封包的特性加以分類,還原先後次序、儲存、同時並將分類後的封包依所知的規則 (Protocol),予以解譯成明碼儲存在硬碟中。隨時供使用者備查,當然這個工作不是用人工來直接解碼。而是寫出一些程式用電腦程式來自動執行解碼, 完成分類及儲存等工作。
電腦在網路上傳送的封包信息,常見的至少有500 ~ 600種,以電子郵件來說;依POP3 (寄入郵件)、SMTP (寄出郵件)分為二大類、在這二大類之下又可分至少10多種小型不同的子項,各自擁有其不盡相似的訊框模式,以時下最流行的網頁郵件來說;更是依 ISP 或者是提供服務業者之不同,而各有千秋各有各之不同訊框規範。
在解譯封包工作中常常會遭遇到在課本上沒有學過的規格,而世界上也找不到完整的文獻來記載說明這些規格,甚至於連產生這些封包的軟体都是我 們未曾見過或未知規格的應用軟体。因此我們得像大海撈針般提起信心,鼓起勇氣靠著拼大型拼圖般的方法,一點一點盲人摸象般將真實湊出來,設法還原到原狀。 再重新寫出原始規格,找出規則。有時候我們會遭遇到一些困境。畢竟,我們是利用還原工程來解譯資訊,我們無法向原設計者請益,只能靠己知的知識儘量去假 設。偶爾也會因由於不同的 E-Mail 收發軟体或是 FTP 或是即時通信軟体在不同的網路環境或架構下,封包或訊框格式會產生不同結構而發封包解譯凸槌的事件。在此一狀況下只好重建模擬環境找出原因改進程式或者是 硬体裝置。畢竟這些產生需解譯封包的應用程式,經過使用著長期實用建議而不斷改進完成地,將各種網路架構上所遭遇的困難予以修正完成。
如同刑事鑑定泰斗 李昌鈺 博士所說過的話 『每顆子彈在製造過程中,或者是擊發後都會在物理上產生工具痕,只要依工具痕就有機會找到來源,追出真象』。數位鑑識技巧亦同,每個不同應用軟体或者是設 備,產生的封包亦會具有其獨特的工具痕。當我們利用一些方法鑑別出封包其包含的工具痕時,就幾乎可以確定我們可以完成正確解譯還原此一規格封包,無論是網 頁郵件(Web-mail)、FTP、Telnet、IM、甚至於 VOIP、影像… …等。還有另一項令我們覺得麻煩及吃力的工作,為我們不但要解譯封包還要將其納入資料庫中管理、備查、因此資解譯結果,常需做格式轉換以便資料正確呈現, 非常複雜。
這幾年最令我及幾位共同參與數位鑑識技術研究同仁,著迷於此道的原因,並不是由於我們可以借此窺探別人的隱私及秘密。而是電腦 科技博大精深,有太多太多種的封包規格需要解析。因此每天都要看很多專業知識的書籍,或是必須閱讀許多原文電腦文獻,學習其中的技術,必須對於每個需要解 析的封包產生技術及格式,澈底了解、熟悉、融會貫通才能寫出程式、完成設備研究工作。
曾有人問我,為什麼你們一頭栽下去如痴,如狂的研究,毫無怨言?因為我們一旦想到我們設計出來的設備,能夠供給如同 李昌鈺 博士一般的電腦神探,為維護國家及社會安全,人類尊嚴盡一番心力,所有的辛勞皆一掃而空。
回首前塵,光陰似箭三年來的研究時光過去了,值得欣慰的是;愈來愈多的機關及組織,開始重視電腦鑑視科學的發展了。也有愈來愈多的後進參加 此一領域的研究計畫,有朝一日電腦鑑識科學,終將如同法醫學般成為一項專門科學。
2004年9月11日風雨剛開始寧靜時就此擱筆。