申論題模擬─資訊安全防護技術（2024-03-31）

 申論題模擬─資訊安全防護技術（2024-03-31）

Question #7  A honey pot deployed with the IP 172.16.1.108 was compromised by an attacker.

Given below is an excerpt from a Snort binary capture of the attack. Decipher the activity carried out by the attacker by studying the log. Please note that you are required to infer only what is explicit in the excerpt.

(Note: The student is being tested on concepts learnt during passive OS fingerprinting, basic TCP/IP connection concepts and the ability to read packet signatures from a sniff dump.)

03/15-20:21:24.107053 211.185.125.124:3500(RTMP Port) -> 172.16.1.108:111

03/15-20:21:24.730436 211.185.125.124:790 -> 172.16.1.103:32773

A. 111 Port The attacker has conducted a network sweep on port 111

B. The attacker has scanned and exploited the system using Buffer Overflow

C. The attacker has used a Trojan on port 32773                          D. The attacker has installed a backdoor

根據提供的 Snort 二進制捕獲，讓我們分析攻擊者進行的活動：

1. 03/15-20:21:24.107053 211.185.125.124:3500(RTMP Port) -> 172.16.1.108:111

   • 這行表示從 IP 地址 211.185.125.124 的 3500 端口向 IP 地址 172.16.1.108 的 111 端口發起了連接。
   • 端口 111 通常與遠程過程調用（RPC）服務相關聯。
   • 攻擊者可能試圖在端口 111 上進行網絡掃描或偵查，以收集有關目標系統上可用的 RPC 服務的信息。

2. 03/15-20:21:24.730436 211.185.125.124:790 -> 172.16.1.103:32773

   • 這行表示另一個連接，這次是從 IP 地址 211.185.125.124 的 790 端口到另一個主機，IP 地址為 172.16.1.103，端口為 32773。
   • 端口 32773 不是一個眾所周知的端口，並且在摘錄中沒有指定其用途。
   • 從提供的信息中無法確定端口 32773 的活動。

基於給定的詳情，我們可以推斷：

• 選項 A：攻擊者可能在 RTMP 連接的同時對蜜罐的 111 端口（RPC 服務）進行了網絡掃描或偵查。
• 選項 B：在提供的摘錄中並沒有明確指示發生緩衝區溢出攻擊。
• 選項 C：沒有跡象表明在端口 32773 上使用了特洛伊木馬。
• 選項 D：根據提供的信息，並沒有安裝後門的證據。

因此，最合理的答案是： A. 111 端口，攻擊者在端口 111 上進行了網絡掃描。

1. 談論常見的攻擊類型，例如端口掃描、緩衝區溢出攻擊、特洛伊木馬和後門，以及如何檢測和防範這些攻擊。
2. 解釋 RPC 服務和其在網絡通信中的作用，以及為什麼攻擊者可能對目標系統的 RPC 端口進行掃描。
3. 探討 RTMP（Real-Time Messaging Protocol）及其在網絡通信中的用途，以及攻擊者可能為什麼選擇使用 RTMP 來進行攻擊。
4. 討論如何使用 Snort 或類似的入侵檢測系統來監視和識別網絡上的異常活動，以提前發現和防止攻擊。
5. 分析如何構建一個安全的網絡架構，包括防火牆、入侵檢測系統和安全策略，以最大程度地減少受到類似攻擊的風險。

申論題模擬─資訊安全防護技術（2024-03-19）

申論題模擬─資訊安全防護技術（2024-03-19）

Question #6   

You are using DriveSpy,a forensic tool and want to copy 150 sectors where the starting sector is 1709 on the primary hard drive. Which of the following formats correctly specifies these sectors?

A. 0:1000, 150 B. 0:1709, 150 C. 1:1709, 150 D. 0:1709-1858

這些選項描述了 DriveSpy 中複製起始扇區為 1709 的主要硬碟上的 150 個扇區。

A. 0:1000, 150：這個選項指定從主要硬碟的第 0 個扇區開始，複製連續的 150 個扇區，這些扇區從第 0 個到第 149 個。這與題目要求的起始扇區 1709 不相符。

B. 0:1709, 150：這個選項指定從主要硬碟的第 0 個扇區開始，複製連續的 150 個扇區，這些扇區從第 1709 個到第 1858 個。這是正確的選項，因為它指定了從起始扇區 1709 開始，複製 150 個扇區。

C. 1:1709, 150：這個選項指定從主要硬碟的第 1 個扇區開始，複製連續的 150 個扇區，這些扇區從第 1709 個到第 1858 個。這個選項不正確，因為它將起始扇區設置為 1，而不是 0。

D. 0:1709-1858：這個選項指定從主要硬碟的第 0 個扇區開始，複製從第 1709 個到第 1858 個的所有扇區。這也是正確的選項，因為它確保了從 1709 開始複製 150 個扇區。

因此，正確的選項是 B 和 D。

DriveSpy 是什麼？

DriveSpy 是一款數字取證工具，通常用於檢查和分析電腦硬碟上的數據。它可以幫助取證人員擷取、複製、分析硬碟的內容，並提供關於數據的詳細信息。

複製起始扇區的重要性

在數字取證過程中，複製起始扇區是重要的，因為它確保了數據的完整性和可靠性。起始扇區通常包含文件系統的重要信息，如文件結構、目錄結構等。複製起始扇區可以保證取證人員在分析數據時不會對原始數據進行任何修改，同時也可以確保原始數據不受任何損害。

對比四個選項

選項 B 和 D 是正確的，因為它們都指定了從起始扇區 1709 開始複製 150 個扇區。選項 A 是錯誤的，因為它從不正確的起始扇區開始複製。選項 C 也是錯誤的，因為它將起始扇區設置為 1，而不是 0。

起始扇區和結束扇區的概念

起始扇區是指在硬碟上開始複製或讀取數據的地方，而結束扇區則是指複製或讀取數據的終點。在數字取證過程中，這兩個參數非常重要，因為它們確定了要擷取或分析的數據範圍。

克服數字取證過程中的挑戰

在數字取證過程中可能遇到的挑戰包括數據的大量、數據的加密和保護、硬碟損壞等。使用工具如 DriveSpy 可以幫助取證人員克服這些挑戰，例如通過專業的數據複製功能來處理硬碟損壞問題，並提供對加密數據的解密支持，從而確保取證工作的準確性和可靠性。

希望這些答案能幫助到您理解和回答相關的申論題目。

申論題模擬─資訊安全防護技術（2024-03-19）

 申論題模擬─資訊安全防護技術（2024-03-19）

Question #464   

NTFS sets a flag for the file once you encrypt it and creates an EFS attribute where it stores Data Decryption Field (DDF) and Data Recovery Field (DDR). Which of the following is not a part of DDF?

A. Encrypted FEK         B. Checksum        C. EFS Certificate Hash         D. Container Name

NTFS 在加密檔案時會設置一個標誌，並創建一個 EFS 屬性，其中存儲了數據解密字段（DDF）和數據恢復字段（DDR）。以下哪一項不是 DDF 的一部分？

答案：(B) Checksum

DDF 包含以下內容：

Encrypted FEK（加密的文件加密金鑰）

EFS 證書哈希

容器名稱

Checksum 不是 DDF 的一部分。

解釋NTFS在文件加密中的作用，以及EFS屬性的重要性。NTFS如何處理文件的加密，並在EFS屬性中存儲哪些信息？

詳細說明NTFS加密文件中數據解密字段（DDF）的作用。DDF包含哪些具體信息，以及它如何有助於解密過程？

探討在NTFS加密中加密文件加密密鑰（FEK）的重要性。FEK是如何生成並用於加密文件的，為什麼對於安全的數據加密是必要的？

比較並對比NTFS加密文件中數據解密字段（DDF）和數據恢復字段（DDR）的作用。它們各自的功能是什麼，以及在數據管理和恢復方面有什麼不同？

分析容器名在NTFS加密中的重要性。容器名如何促進文件的加密和解密過程，以及在維護文件安全方面扮演什麼角色？

NTFS在文件加密中扮演重要角色，它能夠對文件進行加密，並在文件上設置EFS（Encrypting File System）屬性，以存儲加密相關的信息。EFS屬性包括數據解密字段（DDF）和數據恢復字段（DDR），以及其他相關信息。

DDF是NTFS加密文件中的一部分，它包含加密文件的重要信息，如加密文件加密密鑰（FEK）和EFS憑證哈希等。DDF的存在是為了支持文件的解密過程，以便正確地還原加密文件的原始內容。

FEK是加密文件加密的關鍵，它由系統生成並用於加密文件的數據。FEK的重要性在於它是實際用於加密文件的密鑰，同時也是解密文件的關鍵。只有持有正確的FEK才能成功地解密加密文件。

DDF和DDR是NTFS加密文件中的兩個重要字段，它們各自扮演不同的角色。DDF主要用於存儲加密相關的信息，以支持文件的解密，而DDR則用於存儲數據恢復相關的信息，以支持在加密文件遇到問題時的數據恢復過程。

容器名在NTFS加密中扮演著識別文件容器的重要角色。容器名作為文件加密過程中的標識，有助於識別加密文件及其相關的加密信息。它對於確保加密文件的安全性和正確性非常重要，因為它確保了文件被正確地加密和解密。

申論題模擬─資訊安全防護技術（2024-03-14）

 申論題模擬─資訊安全防護技術（2024-03-14）

Question #5   Web URL Redirect & XSS >> Web Bug

You are working on a thesis for your doctorate degree in Computer Science. Your thesis is based on HTML,DHTML, and other web-based languages and how they have evolved over the years.You navigate to archive.org and view the HTML code of news.com. You then navigate to the current news.com website and copy over the source code. While searching through the code, you come across something abnormal: What have you found?

A. Web bug B. CGI code C. Trojan.downloader D. Blind bug

A. Web bug（網路追蹤器）：網路追蹤器是一種常見的網路追蹤技術，通常由像素圖片或隱藏的腳本代碼組成，用於追蹤網站訪問者的活動。這些追蹤器通常用於收集使用者的瀏覽行為數據，並且在 HTML 代碼中可以隱藏起來。因此，如果在查看 news.com 網站的 HTML 代碼時發現了一個網路追蹤器，這就是一個正常的情況，不算是異常。

B. CGI code（CGI 代碼）：CGI（通用網關介面）是一種用於在網站上執行動態程序的標準。CGI 代碼通常用於處理網站表單的輸入數據，生成動態網頁內容等。在 news.com 的 HTML 代碼中出現 CGI 代碼是正常的，因為它可能用於處理網站的各種交互式元素。

C. Trojan.downloader（特洛伊木馬下載器）：特洛伊木馬下載器是一種惡意軟件，旨在在受感染的計算機上下載和安裝其他惡意軟件。通常情況下，特洛伊木馬下載器不會直接出現在網站的 HTML 代碼中，因為它們通常是作為獨立的可執行文件進行傳播。因此，在查看 news.com 網站的 HTML 代碼時發現特洛伊木馬下載器是不太可能的，這個選項是錯誤的。

D. Blind bug（盲點）：「盲點」一詞在網絡安全中指的是一個系統或應用程序中的漏洞，攻擊者可以利用它進行攻擊，但普通用戶很難意識到它的存在。這個詞通常不適用於 HTML 代碼的分析，因為它更多地與系統安全和漏洞有關，而不是網頁編碼。因此，如果在查看 news.com 網站的 HTML 代碼時發現了一個盲點，這是一個不正確的描述。

Archive.org是一個被稱為「網際網路檔案館」（Internet Archive）的網站。它是一個非營利組織運營的數位圖書館，旨在通過收集、保存和提供網絡上的歷史文獻、網頁、音樂、電影和其他數位內容，來保存人類知識的一部分。

Internet Archive 的主要功能包括：

1. 網絡擷取：通過網絡爬蟲和自動化工具，Archive.org定期擷取網際網路上的網頁和其他數位內容，並將其保存在其數據庫中。

2. 內容保存：Internet Archive 致力於保存網絡上的文化和歷史遺產，包括網站、博客、視頻、音樂、圖書和其他媒體形式。

3. 免費訪問：大部分存儲在Internet Archive的內容是免費公開訪問的，任何人都可以通過網站訪問和瀏覽這些數字典藏。

4. 時光機：Internet Archive的“時光機”（Wayback Machine）是其最著名的功能之一，允許用戶查看過去版本的網站，從而追溯網站的發展和變化。

以下是一個簡單的HTML範例，展示了如何使用像素圖片作為網路追蹤器：

html
<!DOCTYPE html>
<html>
<head>
    <title>網路追蹤器範例</title>
</head>
<body>
    <h1>這是一個網路追蹤器範例</h1>
    <!-- 使用像素圖片作為網路追蹤器 -->
    <img src="https://example.com/track.gif" style="width:1px;height:1px;visibility:hidden;" />
</body>
</html>

在這個範例中，我們通過<img>元素嵌入了一個像素圖片，圖片的網址指向了一個追蹤器的URL（在這裡假設為"https://example.com/track.gif"）。該圖片的大小設置為1x1像素，並且使用了`visibility:hidden;`樣式，使其在頁面上不可見。

當瀏覽器加載頁面時，它會請求該像素圖片，而伺服器收到請求後可能會記錄用戶訪問的信息，如IP地址、時間等，從而實現網路追蹤的目的。因為像素圖片的大小只有1x1像素，所以對用戶的視覺體驗不會有任何影響，用戶是無法察覺到這個追蹤器的存在的。

申論題模擬─資訊安全防護技術（2024-03-14）

申論題模擬─資訊安全防護技術（2024-03-14）

NTFS sets a flag for the file once you encrypt it and creates an EFS attribute where it stores Data Decryption Field (DDF) and Data Recovery Field (DDR). Which of the following is not a part of DDF?

A. Encrypted FEK         B. Checksum        C. EFS Certificate Hash         D. Container Name 

NTFS在加密文件時會設置一個標誌，並創建一個EFS屬性，其中存儲了數據解密字段（DDF）和數據恢復字段（DDR）。以下是DDF的組成部分：

加密的FEK（File Encryption Key）：FEK是用於對文件數據進行對稱加密的密鑰。

EFS證書哈希：存儲與文件相關聯的EFS證書的哈希值。

容器名稱：指示文件所在的容器或目錄的名稱。

 深入剖析EFS

---

文章內容：原創
文章提交：mrcool (mrcool_at_zhinet.com)

EFS是Encrypting File System，加密文件系統的縮寫，他可以被應用在windows 2000以上的操作系統且為NTFS5格式的分區上(windows xp home不支持).

EFS 只能對存儲在磁碟上的資料進行加密,是一種安全的本機訊息加密服務.EFS使用核心的的文件加密技術在NTFS捲上存儲加密文件.
它可以防止那些未經允許的對敏感資料進行物理訪問的入侵者(偷取筆記本電腦,硬碟等)

EFS是如何工作的

當一個用戶使用EFS去加密文件時，必須存在一個公鑰和一個私鑰，如果用戶沒有，EFS服務自動產生一對。對於初級用戶來說，即使他完全不懂加密，也能加密文件，可以對單個文件進行加密，也可以對一個資料夾進行加密，這樣所有寫入資料夾的文件將自動被加密。

一旦用戶發佈命令加密文件或試圖新增一個文件到一個已加密的資料夾中，EFS將進行以下幾步：

第一步：NTFS首先在這個文件所在卷的卷訊息目錄下(這個目錄隱藏在根目錄下面)創建一個叫做efs0.log的日誌文件，當拷貝過程中發生錯誤時利用此文件進行恢復。

第二步：然後EFS調用CryptoAPI設備環境.設備環境使用Microsoft Base Cryptographic Provider 1.0 產生密匙,當打開這個設備環境後,EFS產生FEK(File Encryption Key,文件加密密匙).FEK的長度為128位（僅US和Canada），這個文件使用DESX加密算法進行加密。

第三步: 獲取公有/私有密匙對;如果這個密匙還沒有的話(當EFS第一次被調用時),EFS產生一對新的密匙.EFS使用1024位的RSA算法去加密FEK.

第四步：EFS為當前用戶創建一個資料解密塊Data Decryptong Field(DDF),在這裡存放FEK然後用公有密匙加密FEK.


第五步：如果系統設置了加密的代理,EFS同時會創建一個資料恢復塊Data Recovery Field(DRF),然後把使用恢復代理密匙加密過的FEK放在DRF.每定義一個恢復代理,EFS將會創建一個Data Recovery Agent(DRA).Winxp沒有恢復代理這個功能,所以沒有這一步.，這個區域的目的是為了在用戶解密文件的中可能解密文件不可用。這些用戶叫做恢復代理，恢復代理在EDRP(Encryption Data Recovery Policy,加密資料恢復策略)中定義，它是一個域的安全策略。如果一個域的EDRP沒有設置，本機EDRP被使用。在任一種情況下，在一個加密發生時，EDRP必須存在（因此至少有一個恢復代理被定義）。DRF包含使用RSA加密的FEK和恢復代理的公鑰。如果在EDRP列表中有多個恢復代理，FEK必須用每個恢復代理的公鑰進行加密，因此，必須為個恢復代理創建一個DRF。

第六步：包含加密資料、DDF及所有DRF的加密文件被寫入磁碟。

第七步: 在加密文件所在的資料夾下將會創建一個叫做Efs0.tmp的臨時文件.要加密的內容被拷貝到這個臨時文件,然後原來的文件被加密後的資料覆蓋.在預定的情況下,EFS使用128位的DESX算法加密文件資料,但是Windows還允許使用更強大的的168位的3DES算法加密文件,這是FIPS算法必須打開,因為在預定的情況下它是關閉的.

第八步：在第一步中創建的文本文件和第七步中產生的臨時文件被刪除。

加密過程圖片可參考 http://www.ntfs.com/images/encryption.gif

文件被加密後,只有可以從DDF或是DRF中解密出FEK的用戶才可以訪問文件.這種機制和一般的安全機制不同並意 味著要想訪問文件,除了要有訪問這個文件的權力外還必須擁有被用戶的公有密匙加密過的FEK.只有使用私有密匙解密文件的用戶才可以訪問文件.這樣的話會有一個問題:就是一個可以訪問文件的用戶可把文件加密之後,文件真正的擁有者卻不能訪問文件.解決這個問題的辦法:用戶加密文件的時候只創建一個文件解密塊Data Decryption Field(DDF),但是只後他可以增加附加用戶到密匙隊列.這種情況下,EFS簡單地把FEK用想給其他用戶訪問權的用戶的私有密匙加密.然後用這些用戶的公有密匙加密FEK,新增加的DDF和第一個DDF放在一起(這些新增加的用戶對文件只有訪問的權力).

解密的過程和加密的過程是相反的,參考http://www.ntfs.com/images/decryption.gif

首先,系統檢測用戶是否具有被EFS使用的私有密匙.如果有的話,系統將會在讀取EFS內容,同時在DDF對列中尋找當前用戶的DDF.如果DDF找到的話,用戶私有密匙將會在那裡解密出FEK.使用解密出來的FEK,EFS去解密加密的文件資料.需要注意的是文件從來不會完全被加密,但是有時候會去加密一些特殊的扇區如果上層模塊要求的話.


EFS組成

EFS由EFS服務、EFS驅動、EFS文件系統執行庫（FSRTL）和Win32 API。EFS服務作為一個標準系統服務執行，它是Windows 2000安全子系統的一部分。它與CryptoAPI接頭產生鑰匙、DDF和DRF，EFS驅動就像是NTFS的一部分，它呼叫EFS服務請求鑰匙，DDF和DRF作為需要被創建，一個EFS驅動的組成是EFS FSRTL,它定義了EFS驅動程式能作為NTFS的代表而執行的功能。

EFS和NTFS如何共存

EFS可以被認為除NTFS外的第二層防護，為訪問一個被加密的文件，用戶必須有訪問到文件的NTFS權限。在相關NTFS權限的用戶能看到資料夾中的文件，但不能打開文件除非有相應的解密鑰匙。同樣，一個用戶有相應的鑰匙但沒有相應的NTFS權限也不能訪問到文件。所以一個用戶要能打開加密的文件，同時需要NTFS權限和解密鑰匙。

然而，NTFS權限可能被大量的方法穿越，包括口令破解程式、用戶在離開前沒有退出系統或系統內部的NTFSDOS。在NT4.0下，遊戲結束了－－硬碟上所有的資料都可以訪問了。在Windows 2000下，當一個文件用EFS加密後，一個未授權的用戶，即使訪問到磁碟上的文件，但也不能訪問文件上資料，因為沒有授權用戶的私鑰。

EFS 內容

當NTFS加密文件的時候,它首先會為文件設置加密標誌,然後在存儲DDF和DDR的地方為文件創建一個$EFS內容.這個內容的內容ID=0x100,它可以被加長,佔有0.5k到若干k的大小,這個大小是由DDF和DRF的數量決定的.

http://www.ntfs.com/images/efs_header.gif

下面是一個詳細的EFS內容的例子.

http://www.raid1.cn/efs/pic/attribute/EFS_example.gif

紫色:EFS內容大小

天藍色:電腦安全標識符和用戶數位.它指定EFS存儲證書的資料夾.為了得到文件
夾的名字,EFS會做一些轉換.

5A56B378 1C365429 A851FF09 D040000 - 存儲在$EFS中的資料.

78B3565A 2954361C 09FF15A8 000004D0 - 轉換後的結果.

2025018970-693384732-167712168-1232 - 轉換成十進制.

S-1-5-21-2025018970-693384732-167712168-1232 - 加上安全標識符前綴.

得到的資料夾就是:

%UserProfile%\ApplicationData\Microsoft\Crypto\RSA\S-1-5-21-2025018970-693384732167712168-1232\

粉紅色:公有密匙特性

黃色:私有密匙全局唯一標識符(同時被當作容器名字).當EFS從CryptoAPI provider中獲取設備環境的時候使用這個名字.如果$EFS內容只有一個DDF,容器的名字可以從$efs中計算出來.但是當更多的用戶加入這個文件的時候(就會有更多的DDF和DRF),私有密匙全局唯一標識符並不是儲存所有的用戶,其它的必須從基於公有密匙存儲特性的證書中恢復.

紅色:加密提供器的名字(Microsoft Base Cryptographic Provider v.1.0)

綠色:用戶的名稱,DDF和DRF的所有者.

藍色:加密後的FEK.通常FEK是128位的,但是被1024位的RSA密匙加密後,長度變成1024位.


參考資料: http://www.ntfs.com http://www.nsfocus.net

申論題模擬─資訊安全防護技術（2024-03-13）

 申論題模擬─資訊安全防護技術（2024-03-13）

What method of computer forensics will allow you to trace all ever-established user accounts on a Windows 2000 sever the course of its lifetime?

A. forensic duplication of hard drive                              B. analysis of volatile data

C. comparison of MD5 checksums                                D. review of SIDs in the Registry

A. 創建硬盤的數位副本：這個選項涉及創建一個精確的硬盤副本（數位影像），以供分析使用。雖然它允許對硬盤上的所有數據進行全面檢查，包括用戶帳戶，但它並不特別聚焦於追踪伺服器生命周期內的所有已建立的用戶帳戶。這更多地是關於保護和分析硬盤上的所有數據。

B. 分析揮發性數據：揮發性數據指的是存儲在臨時記憶體（RAM）中的信息，在系統關機時會丟失。雖然分析揮發性數據可以提供有關當前活動用戶帳戶和活動的洞察，但它並不直接解決追踪伺服器生命周期內的所有已建立的用戶帳戶的問題。

C. 比較 MD5 校驗和：MD5 校驗和是用於驗證數據完整性的加密哈希。雖然它們可以用於驗證數據的完整性，但它們並不能提供有關 Windows 伺服器上用戶帳戶的信息。

D. 查看登錄中的 SIDs：安全標識符（SIDs）是分配給 Windows 系統上每個用戶、組和計算機帳戶的唯一標識符。這些 SIDs 存儲在 Windows 登錄中。通過查看登錄中的 SIDs，可以潛在地追踪伺服器生命周期內的所有已建立的用戶帳戶。因此，這個選項是正確的，因為它直接解決了問題中指定的任務。

要查看注册表中的SIDs，您可以使用regedit命令打开注册表编辑器。然后，您可以导航到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 键，该键下存储了用户的配置文件信息，其中包括他们的SID。在这个键下，您可以看到每个用户的子键，其中包含其SID作为键名。

Windows使用Registry來儲存各項設定值，從資安的角度我們必須要了解重要的參數和如何進行設定與修改

以下是五個關於註冊表的申論題目：

1. 詳細解釋註冊表在Windows操作系統中的功能，並闡述其對系統性能和使用者體驗的重要性。
2. 詳細描述註冊表的結構和組織方式，並解釋其中常見的主要鍵和子鍵的作用。
3. 分析註冊表在系統維護和故障排除中的重要性，說明如何使用註冊表進行故障排查和性能優化。
4. 探討在註冊表中進行更改可能導致的潛在風險和問題，並提出如何安全地管理和編輯註冊表的建議。
5. 探討註冊表的發展歷程以及隨著操作系統版本的更新，註冊表的變化和演變。同時，討論註冊表在現代操作系統中是否仍然是必需的。

申論題模擬─資訊安全防護技術（2024-03-11）

 申論題模擬─資訊安全防護技術（2024-03-11）

Question #636  allows a forensic investigator to identify the missing links during investigation.

A. 監管鏈Chain of custody                          B. 項目編號Exhibit numbering

C. 證據保存Evidence preservation             D. 證據重構Evidence reconstruction

 

事件重建著重於證據、事件順序和相關人員身分之間的連結。 物證重建的重點是槍支、血跡、玻璃碎片以及任何其他可以剝離進行 DNA 分析的物體。

Question #589   

Williamson is a forensic investigator. While investigating a case of data breach at a company, he is maintaining a document that records details such as the forensic processes applied on the collected evidence, particulars of people handling it, the dates and times when it is being handled, and the place of storage of the evidence. What do you call this document?

A. Authorization form    B. Consent form     C. Chain of custody        D. Log book

Chain of custody

電子舉證中的證物保管鍊是什麼？

電子舉證過程中的證物保管鏈包含了證據處理保管書面記錄，或電子證據的時間順序檔案。它表示收集，控制，轉移和分析的順序。它還記錄了處理證據的每個人，收集或轉移的日期/時間以及轉移的目的。

https://www.fineart-tech.com/index.php/ch/news/584-fineartsecurity-forensic

1. 問題：證物保管鍊在刑事調查中的重要性是什麼？為什麼需要建立嚴格的證物保管程序？

   答案：證物保管鍊在刑事調查中至關重要，因為它確保證物的完整性和可靠性。建立嚴格的保管程序可以防止證物被污染、損壞或意外丟失，確保調查結果的可信度。

2. 問題：證物保管鍊的流程中，有哪些關鍵步驟需要特別注意？這些步驟的遵從如何確保調查的合法性和有效性？

   答案：關鍵步驟包括收集、標識、記錄、封存和儲存證物。遵從這些步驟確保了調查的合法性，因為它防止了可能的不當影響或操縱。同時，有效遵從這些步驟確保了證據的可靠性和真實性。

3. 問題：在證物保管鍊中，如何應對可能的證物毀損或遺失情況？請舉例說明應對措施。

   答案：當出現證物毀損或遺失時，應立即記錄並通報主管。進一步的應對措施可能包括重新收集相關證據，調查損害原因，並採取預防措施，以避免未來發生類似事件。

4. 問題：證物保管鍊中的訪問和使用權限應如何管理？為什麼這是確保證據完整性的重要一環？

   答案：訪問和使用權限應該受到限制，僅授予有權調查人員或相關人員。這樣的管理可以防止未經授權的人員操控或破壞證物，確保證據的完整性和可信度。

5. 問題：在現代科技發展的背景下，如何將數位證據納入證物保管鍊？有哪些特別需注意的方面？

   答案：數位證據的保管需要特別注意確保其完整性和原始性。使用加密技術、確保存儲媒介的安全性，以及建立數位鍊等方式，可以有效地納入數位證據，同時保障其可靠性。