科技罪案組的法理鑒證分組分為a、b、c、d四隊,不同的隊伍有著不同的電子數據司法鑒定職務。a隊和b隊是由新加入的人員所組成,負責一般電子數據司法鑒定事務。而c隊負責司法鑒定智能手機及平板電腦等的電子器材。最後,d隊由最具備經驗的人員所組成,其隊員最少要有五年年資,並且曾於a、b、c三隊駐守。所以,d隊負責處理的是最繁雜、最嚴重及最大型的罪案的司法鑒定事務。
因此,在這兩宗案件中,隸屬a隊的秦向文負責為案件中所涉及的證據電腦進行電子數據取證,而隸屬c隊洛孟凝則是負責有關移動裝置的部分。
傅良濤和洛孟凝各自坐在了長桌兩邊的首位,龐季同則坐了在傅良濤的旁邊。
甫一坐下,傅良濤便對洛孟凝說:「阿凝,你先說說李秉德的手機分析報告吧!」說到這裏,傅良濤頓了一頓,又好整以暇地看向龐季同,說:「阿季他……對你的分析很感興趣!」
「好吧!那我就先從李秉德的手機分析開始吧!」洛孟凝笑著應道,一邊翻開了手上深棕色封皮的筆記本子。隱約可見上方整齊地羅列了一個個細項,顯然為了這一次會議做了充足的準備功夫。
隻聽洛孟凝說:「李秉德的手機分析報告與手動檢測的結果沒有多大的分別。李秉德使用網上服務和社交媒體的習慣和我們已經知道的相約,而手機上的通訊記錄也證實,他的人際關係和行動1c隊的調查結果一致,除了家人以外,他幾乎沒有朋友。」
「沒有出入?」龐季同不禁疑惑地問。
洛孟凝瞥了龐季同一眼,應道:「是的。」
然後,洛孟凝轉而看向傅良濤,說:「就使用習慣和人關係這兩方麵來說,的確是沒有任何出入。我知道你們的疑問是什麽……阿濤,之前你交代我特別留意有關李秉德異性密友的證據。所以,在進行分析的時候,我也有特別留意相關的證據,尤其是在檢閱社交媒體的通訊內容時。可是,並無發現。」
聽到這裏,傅良濤不禁皺起了眉頭,在手抄本中寫寫畫畫,又問:「那麽,在這次的分析中,有沒有什麽特別的發現?」
「有!」洛孟凝清朗的聲音乾脆地答道。聽到這個迴答,傅良濤和龐季同都瞬間提起了精神,身子坐得筆直,可見二人對洛孟凝接下來要說的話而生出的期待。
洛孟凝接著說:「在進行進一步分析的時候,我在李秉德的手機中發現了一個木馬程式。根據這木馬程式的設計,應該是黑客群體之間廣為流傳的惡意軟體『七分』的變種版本。」
傅良濤對這個惡意軟體並不陌生,這個惡意軟體並不是新出現的,自二零零三年起便已廣為流傳。原版的『七分』有一係列的功能,包括使攻擊者得以遙距使用係統檔案、控製係統的攝像頭和麥克風、使用已經儲存在係統裏的密碼、改變桌布,以及截取敏感資料。而攻擊者更加可以在使用者的裝置連結網絡時,接收到電郵和即時訊息提示。
『七分』這個惡意軟體分為三個部分,分別為服務器、客戶端和服務器編輯器。服務器的部分於受害人的手機或電腦係統的後台運行,而客戶端的部分則由攻擊者操作,使攻擊者得以遙距取用或觀察受害人的係統。至於,服務器編輯器,這部分容許攻擊者定義操作功能和感染的實效。而且,攻擊者能夠透過客戶端定期更換取用裝置的連接埠,這樣使本來隱秘性已很強的木馬程式變得更加難以偵測。
最重要的一點是,試圖感染使用者的係統不是難事,因為『七分』能夠透過電郵或其他附件傳送。同時亦因為這個原因,這惡意軟體在黑客群體之間非常流行,並具有一定的普及性。尤其是對於那些隻懂得使用其他黑客的惡意軟體成品,而沒有能力自行開發惡意軟體的黑客來說。
「你是不是已經確認了這個變種版本的『七分』並不是於網上流傳的版本?」傅良濤首先想到的便是這一個問題,畢竟這一點有助於他們判定惡意軟體作者的技術水平,以及判定這木馬程式與案件有關聯的可能性。
傅良濤想了想,又覺得自己的問題不夠清晰,便接著說道:「我的意思是,你有沒有向國際刑警,以及那些與我們有司法互助協議的司法管轄區提交惡意軟體報告書?有沒有跟網絡上公開開放的惡意軟體下載平台進行過比對?」
傅良濤話音還未落,洛孟凝便翻了一個白眼,沒好氣地接過話來,說:「阿濤,我還不了解你嗎?如果我沒有確認過,我現在也不敢拿這個發現來跟你討論……」話中似是覺得傅良濤的問題有些多此一舉,語氣帶有不自覺的嬌嗔,是之前所沒有的。
因著洛孟凝的語氣,龐季同禁不住不屑地撇了撇嘴,瞄了傅良濤一眼。洛孟凝帶著薄嗔的眉眼別具風情,傅良濤卻對洛孟凝的態度不為所動,複又再次確認道:「這樣說來,這個版本的七分並沒有在網上流傳嗎?」
傅良濤公事公辦的語氣讓洛孟凝又瞪了他一眼,洛孟凝換迴一本正經的語氣,續道:「對,這一個版本的『七分』並不是能夠從網絡上取用的版本。雖然網絡上有許多可以任意取用的不同版本,但是確認下來,暫時沒有發現與這個相同的。」
這木馬程式對於李秉德案的調查來說,無疑是一個突破性的進展。
若果木馬程式並沒有在網上流傳,說明李秉德在日常網絡活動不慎感染這木馬程式的風險相對地低。不能排除這木馬程式正在小規模地在網絡上流傳而尚未被發現,但是由於木馬程式沒有自我複製的能力,其傳播途徑相對病毒等其他的惡意軟體有一定的局限性。
在這樣的情況下,對他們來說倒是有利有弊。好處是排查感染源頭的工作不會太過煩重,而壞處則是這意味著散布這惡意軟體的人技術水平相對要高。
因為有能力為惡意軟體的功能作出改動,證明對方在相關的技術上有一定的水平。
「那麽這個版本,在功能上與網絡上流傳的版本的有什麽差別?」傅良濤這才問道。對於了解攻擊者的動機,徹底了解木馬程式的功能也有一定的幫助。畢竟攻擊者的動機會同時反映在他的需求上,即木馬程式的功能上。
「這一點便是值得我們留意的地方。編輯這個變種版本的人,在原版的基礎上,又為木馬程式添加了收集擊鍵記錄和截取社交媒體訊息的功能。」洛孟凝答道。
收集擊鍵記錄的程式於後台運行,會記錄使用者透過鍵盤所輸入的每一個按鍵。所以,收集擊鍵記錄的程式所搜集到的資訊大多是個人資料、信用卡號碼、各種登入名稱和密碼及其他機密訊息。
聽罷,龐季同不由驚訝地感歎道:「這麽一來,手機不就完完全全成了全天候的監控裝置了嗎?李秉德到底得罪了什麽人?」
因此,在這兩宗案件中,隸屬a隊的秦向文負責為案件中所涉及的證據電腦進行電子數據取證,而隸屬c隊洛孟凝則是負責有關移動裝置的部分。
傅良濤和洛孟凝各自坐在了長桌兩邊的首位,龐季同則坐了在傅良濤的旁邊。
甫一坐下,傅良濤便對洛孟凝說:「阿凝,你先說說李秉德的手機分析報告吧!」說到這裏,傅良濤頓了一頓,又好整以暇地看向龐季同,說:「阿季他……對你的分析很感興趣!」
「好吧!那我就先從李秉德的手機分析開始吧!」洛孟凝笑著應道,一邊翻開了手上深棕色封皮的筆記本子。隱約可見上方整齊地羅列了一個個細項,顯然為了這一次會議做了充足的準備功夫。
隻聽洛孟凝說:「李秉德的手機分析報告與手動檢測的結果沒有多大的分別。李秉德使用網上服務和社交媒體的習慣和我們已經知道的相約,而手機上的通訊記錄也證實,他的人際關係和行動1c隊的調查結果一致,除了家人以外,他幾乎沒有朋友。」
「沒有出入?」龐季同不禁疑惑地問。
洛孟凝瞥了龐季同一眼,應道:「是的。」
然後,洛孟凝轉而看向傅良濤,說:「就使用習慣和人關係這兩方麵來說,的確是沒有任何出入。我知道你們的疑問是什麽……阿濤,之前你交代我特別留意有關李秉德異性密友的證據。所以,在進行分析的時候,我也有特別留意相關的證據,尤其是在檢閱社交媒體的通訊內容時。可是,並無發現。」
聽到這裏,傅良濤不禁皺起了眉頭,在手抄本中寫寫畫畫,又問:「那麽,在這次的分析中,有沒有什麽特別的發現?」
「有!」洛孟凝清朗的聲音乾脆地答道。聽到這個迴答,傅良濤和龐季同都瞬間提起了精神,身子坐得筆直,可見二人對洛孟凝接下來要說的話而生出的期待。
洛孟凝接著說:「在進行進一步分析的時候,我在李秉德的手機中發現了一個木馬程式。根據這木馬程式的設計,應該是黑客群體之間廣為流傳的惡意軟體『七分』的變種版本。」
傅良濤對這個惡意軟體並不陌生,這個惡意軟體並不是新出現的,自二零零三年起便已廣為流傳。原版的『七分』有一係列的功能,包括使攻擊者得以遙距使用係統檔案、控製係統的攝像頭和麥克風、使用已經儲存在係統裏的密碼、改變桌布,以及截取敏感資料。而攻擊者更加可以在使用者的裝置連結網絡時,接收到電郵和即時訊息提示。
『七分』這個惡意軟體分為三個部分,分別為服務器、客戶端和服務器編輯器。服務器的部分於受害人的手機或電腦係統的後台運行,而客戶端的部分則由攻擊者操作,使攻擊者得以遙距取用或觀察受害人的係統。至於,服務器編輯器,這部分容許攻擊者定義操作功能和感染的實效。而且,攻擊者能夠透過客戶端定期更換取用裝置的連接埠,這樣使本來隱秘性已很強的木馬程式變得更加難以偵測。
最重要的一點是,試圖感染使用者的係統不是難事,因為『七分』能夠透過電郵或其他附件傳送。同時亦因為這個原因,這惡意軟體在黑客群體之間非常流行,並具有一定的普及性。尤其是對於那些隻懂得使用其他黑客的惡意軟體成品,而沒有能力自行開發惡意軟體的黑客來說。
「你是不是已經確認了這個變種版本的『七分』並不是於網上流傳的版本?」傅良濤首先想到的便是這一個問題,畢竟這一點有助於他們判定惡意軟體作者的技術水平,以及判定這木馬程式與案件有關聯的可能性。
傅良濤想了想,又覺得自己的問題不夠清晰,便接著說道:「我的意思是,你有沒有向國際刑警,以及那些與我們有司法互助協議的司法管轄區提交惡意軟體報告書?有沒有跟網絡上公開開放的惡意軟體下載平台進行過比對?」
傅良濤話音還未落,洛孟凝便翻了一個白眼,沒好氣地接過話來,說:「阿濤,我還不了解你嗎?如果我沒有確認過,我現在也不敢拿這個發現來跟你討論……」話中似是覺得傅良濤的問題有些多此一舉,語氣帶有不自覺的嬌嗔,是之前所沒有的。
因著洛孟凝的語氣,龐季同禁不住不屑地撇了撇嘴,瞄了傅良濤一眼。洛孟凝帶著薄嗔的眉眼別具風情,傅良濤卻對洛孟凝的態度不為所動,複又再次確認道:「這樣說來,這個版本的七分並沒有在網上流傳嗎?」
傅良濤公事公辦的語氣讓洛孟凝又瞪了他一眼,洛孟凝換迴一本正經的語氣,續道:「對,這一個版本的『七分』並不是能夠從網絡上取用的版本。雖然網絡上有許多可以任意取用的不同版本,但是確認下來,暫時沒有發現與這個相同的。」
這木馬程式對於李秉德案的調查來說,無疑是一個突破性的進展。
若果木馬程式並沒有在網上流傳,說明李秉德在日常網絡活動不慎感染這木馬程式的風險相對地低。不能排除這木馬程式正在小規模地在網絡上流傳而尚未被發現,但是由於木馬程式沒有自我複製的能力,其傳播途徑相對病毒等其他的惡意軟體有一定的局限性。
在這樣的情況下,對他們來說倒是有利有弊。好處是排查感染源頭的工作不會太過煩重,而壞處則是這意味著散布這惡意軟體的人技術水平相對要高。
因為有能力為惡意軟體的功能作出改動,證明對方在相關的技術上有一定的水平。
「那麽這個版本,在功能上與網絡上流傳的版本的有什麽差別?」傅良濤這才問道。對於了解攻擊者的動機,徹底了解木馬程式的功能也有一定的幫助。畢竟攻擊者的動機會同時反映在他的需求上,即木馬程式的功能上。
「這一點便是值得我們留意的地方。編輯這個變種版本的人,在原版的基礎上,又為木馬程式添加了收集擊鍵記錄和截取社交媒體訊息的功能。」洛孟凝答道。
收集擊鍵記錄的程式於後台運行,會記錄使用者透過鍵盤所輸入的每一個按鍵。所以,收集擊鍵記錄的程式所搜集到的資訊大多是個人資料、信用卡號碼、各種登入名稱和密碼及其他機密訊息。
聽罷,龐季同不由驚訝地感歎道:「這麽一來,手機不就完完全全成了全天候的監控裝置了嗎?李秉德到底得罪了什麽人?」