全球第一，刑事局资安鉴识实验室获 Windows 程式行为分析认证

刑事警察局近日公布，其数位暨资安鉴识实验室经“全国认证基金会（Taiwan Accreditataion Foundation, TAF）审核通过 ISO/IEC 17025“Windows 程式行为分析”认证，率先成为全球第一个获得此认证的执法机关，也是目前唯一一个通过此项认证的实验室。

刑事警察局数位暨资安鉴识实验室，是在 95 年 4 月建立科技犯罪防制中心，同时于其下科技研发科成立“数位鉴识实验室”，负责处理电脑主机及移动电话等数位装置的采证鉴识分析，后经法务部高检署于 103 年选任为数位鉴识概括授权鉴定机关，符合刑诉法嘱托鉴定规定，并于105年通过ISO/IEC 17025认证项目“资讯重现（删除资料与还原、关键字蒐寻）”，提高数位证物在法庭上的证据能力。而为进一步强化资安事件的调查与鉴识分析能量，再于 106 年增设“资安鉴识实验室”，专责处理骇客攻击、LOG 分析、程式行为分析与手机漏洞检测等重大资安事件。

刑事局表示，常见的骇客攻击如社交工程电子邮件、木马病毒或是勒索软件，都是透过恶意程式进行破坏电脑系统档案或是与远端中继站连线进行控制或窃取资料，而“Windows 程式行为分析”就是应用于资安事件调查中的恶意程式分析。

▲ Windows 程式行为分析流程。（Source：刑事警察局）

对此，刑事警察局资安鉴识实验室将分析流程分为三阶段。第一阶段是准备工作，将可疑程式样本进行 Windows 程式之杂凑值、签章及加壳查验；第二阶段是档案行为分析，意即使用模拟环境分析档案与注册表之新增/删除/修改情形及执行程序。

至于第三阶段则是网络连线分析，也就是分析对外档案传输、查询网域名称及连线IP。此标准化分析方法经 ISO/IEC 17025 认证通过，为全球首创，其不仅可以了解恶意程式对于操作系统的影响、感染方式与破坏程度，更可以分析异常对外连线情形，进而溯源侦查骇客来源与阻断攻击。

（首图来源：刑事警察局）