開放型自動數位鑑識系統框架

惡意程式是會對電腦或網路造成損害或對用戶操作造成非預期影響的程式。近年來，最著名的案例有，勒索病毒攻擊或非法占用CPU、GPU的挖礦程式。惡意程式分析通常分為兩大類，靜態及動態分析。靜態分析優點在於分析惡意程式的病毒碼了解其程式邏輯，缺點在於無法偵測執行時造成的威脅，例如非法記憶體存取等 ; 動態分析優點在於可以實際瞭解程式執行時的行為，缺點是部分惡意行為可能受執行環境影響而被刻意隱藏。數位鑑識是使用軟體搭配科學技術進行搜索和鑑定、找出關連性與所需要的相關證據，並將數位證據文件化。在本專案中採用動態分析進行惡意程式研究，以實際側錄惡意程式當作說明。由於目前市面上缺乏一個開放且完整的解決框架，因此，本專案提出一個開放型自動數位鑑識系統框架，希望可以開啟一個先例，供有興趣的人參考。系統中各模組的功能可自行撰寫，也可以直接使用開放原始碼來組成一個完整的解決方案。本專案我們利用MITRE所提出的ATT&CK框架來定義惡意程式的攻擊行為特徵，並且利用VirusTotal來驗證，然後取得家族分類，最後產生鑑識報告。