12-1 電腦犯罪偵查

12-1 電腦犯罪偵查
電腦犯罪偵查是一個高度專業化的領域，旨在發現、收集、分析和呈現與電腦系統、網路或數位資料相關的犯罪證據。隨著科技的快速發展和數位化工具的普及，電腦已不僅是犯罪的標的，更成為犯罪活動不可或缺的工具。從網路詐欺、資料竊取到分散式阻斷服務攻擊（DDoS），各類型的電腦犯罪層出不窮，且往往具有匿蹤性、遠端操作及跨國界的特性，這使得傳統的犯罪偵查方式面臨嚴峻挑戰。因此，有效的電腦犯罪偵查對於打擊現代犯罪至關重要，它涉及對各種數位軌跡的追蹤，包括電子郵件、網路瀏覽紀錄、檔案系統活動、即時通訊內容等，以重建犯罪過程，釐清何人、何事、何時、何地、何物及如何發生犯罪行為等關鍵要素，最終識別涉案人員並提供法律所需的確鑿證據。
在此領域中，數位證據的識別、保全、分析與呈現是核心任務，其重要性貫穿偵查的每一個階段。偵查人員需具備深厚的專業知識和技術能力，確保在犯罪現場能夠正確辨識潛在的數位證據來源，例如電腦主機、行動裝置、儲存設備或雲端資料。隨後，必須依照嚴格的標準作業程序（SOP）進行蒐證與封緘，這包括確保證據的完整性（bit-for-bit copy）、不可變性，並維持完整的證據鏈（Chain of Custody），以維護證據的原始性與合法性。這些程序對於強化數位證據的證據力，避免在法庭上遭受辯方律師的質疑，甚至挑戰證據的真實性或可采性至關重要。電腦犯罪偵查不僅僅是技術性的挑戰，更是對法律規範、倫理原則和程序嚴謹性的嚴格遵守，以確保案件的公正審理和犯罪分子的繩之以法。
數位資料無所不在，電腦與網路亦成為犯罪標的與工具。請說明於犯罪現場蒐證時，如何辨識數位證據以及應該注意那些事項？
1
數位證據辨識
需辨識各種含有數位證據的設備，包括電腦、手機、儲存裝置、網路設備等。
2
證據保全原則
遵循適當保全程序，確保證據完整性和可靠性，避免證據遭污染或破壞。
3
現場處理注意事項
注意設備電源狀態、網路連接情況、揮發性資料保存，以及適當的標記和記錄程序。
4
法律程序遵循
數位證據蒐集必須遵循相關法律規定，確保證據合法性，以便後續能在法庭上被採納。
請根據政府機關（構）資安事件數位證據保全標準作業程序，說明數位證據封緘作業。
1
封緘前準備
準備適當的封緘材料，包括證物袋、標籤、封條等。
2
證據標示與記錄
對數位證據進行詳細標示，記錄證據編號、類型、來源、取得時間及人員等資訊，確保可追溯性。
3
實施封緘程序
將證據放入適當容器中，防止物理損壞或電磁干擾，使用封條密封並簽名註明日期。
4
封緘文件製作
製作封緘文件，記錄封緘過程、參與人員和證據狀態，由相關人員簽名確認。
5
證據保管與移交
將封緘後的證據存放在安全環境，建立完整保管鏈記錄，確保移交過程中的完整性和真實性。
區塊鏈技術及其在數位證據保全中的應用
區塊鏈定義
區塊鏈是一種分散式資料庫技術，通過將資料區塊以時間順序相連並加密的方式，形成不可篡改的記錄鏈。
區塊鏈系統主要特性
• 去中心化：不依賴中央機構管理
• 不可篡改性：一旦資料被記錄就無法更改
• 透明性：所有交易記錄對網路參與者可見
• 共識機制：確保網路參與者對資料的一致認可
• 智能合約：能自動執行預設條件的程式碼
應用於數位證據保全
• 利用不可篡改性確保證據完整性
• 透過分散式儲存增強證據安全性
• 使用時間戳記錄證據收集時間
• 通過共識機制驗證證據的真實性
• 利用智能合約自動執行證據保全流程
數位證據之蒐集、處理應掌握那些原則與特性，以強化其證據力，避免辯方律師質疑？
合法性原則
遵循法律規定，確保取得搜索令狀及保護隱私權。
完整性原則
避免改變原始資料，使用雜湊值驗證資料未被竄改。
證據鏈完整性
維護完整證據保管鏈，記錄從發現到分析的每個環節。
專業工具與方法
使用經驗證的數位鑑識工具，確保證據可靠性。
詳細文件記錄
記錄完整處理過程，以便在法庭上進行說明和辯護。
請解釋何謂MITRE ATT&CK資安框架，並且說明此框架對偵辦電腦犯罪之幫助。
1
MITRE ATT&CK框架定義
MITRE ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）是記錄真實網絡攻擊者戰術和技術的知識庫，將攻擊者行為分為初始訪問、執行、持久性、權限提升、防禦規避等多個階段。
2
對偵辦電腦犯罪的幫助
提供標準化的攻擊模式描述，幫助識別攻擊手法
協助建立攻擊者畫像，推斷可能的攻擊者身份
指導數位鑑識過程，明確應搜尋的證據
幫助評估攻擊的嚴重性和影響範圍
促進執法機構間的信息共享和協作
支持事件回應和預防措施的制定
由於科技的進步，物聯網、穿戴式裝置已經廣泛在企業及民生使用；相應的若有犯罪情事發生，偵查也會擴及到這些設備上。
1
物聯網物證鑑識新課題
設備多樣性與異質性：物聯網設備種類繁多，硬體架構和通訊協定各不相同，需掌握不同設備的資料擷取方法
資料揮發性與雲端儲存：物聯網設備通常將資料傳送至雲端，本地存儲有限且可能為揮發性記憶體
加密與認證機制：物聯網設備常使用加密通訊和認證機制，增加資料擷取難度
缺乏標準化鑑識工具：物聯網設備的專業鑑識工具尚未完全成熟
2
穿戴式系統物證鑑識新課題
生物識別資料保護：穿戴式裝置常收集生物識別資料，涉及隱私保護問題
與智慧型手機的連接性：穿戴式裝置通常與智慧型手機配對，需同時分析兩者間的資料
持續更新與同步：穿戴式裝置經常與雲端同步資料並接收韌體更新
電池壽命限制：穿戴式裝置的電池容量有限，取證過程中可能因電力耗盡而失去資料
電腦犯罪偵查的主要目的之一乃重建犯罪過程，如何人、何事、何時、何地、何物及如何發生犯罪行為等。請舉例說明應用數位證物於功能性分析（functional analysis）、關聯分析（relational analysis）及時間系列分析（temporal analysis）之方式。
電腦犯罪偵查的主要目的是重建犯罪過程。以下說明如何應用數位證物於三種分析方式：
功能性分析
功能性分析著重於理解數位證物的功能和用途。例如，分析被查獲的惡意軟體，通過反編譯程式碼和隔離環境測試，確定其功能是竊取密碼、加密檔案勒索或建立後門，從而評估其危害程度。
關聯分析
關聯分析探討不同數位證物之間的關係，建立犯罪網絡和關係圖。例如，分析嫌疑人的電子郵件、即時通訊記錄和社交媒體活動，通過通訊頻率、內容和附件共享，識別共謀關係和角色分工。
時間系列分析
時間系列分析關注事件發生的時間順序，重建犯罪的時間線。例如，在資料外洩案件中，整合系統日誌、檔案修改時間和網路連接記錄，追蹤從初始入侵到最終資料傳輸的完整過程。
電腦犯罪偵查案件往往涉及巨量的電子資料，通常"資料減量（data reduction）＂乃偵查搜證作為的要務之一，試申論資料減量的方法。
電腦犯罪偵查案件涉及大量電子資料處理，資料減量是調查過程中的關鍵步驟。以下展示主要的資料減量方法：
雜湊值比對過濾
通過計算檔案雜湊值（MD5、SHA-1）與已知檔案資料庫比對，快速識別並排除已知系統檔案，專注於可疑檔案。
關鍵字搜尋
使用案件相關關鍵字進行搜尋，快速定位可能包含相關資訊的檔案。關鍵字可包括人名、地點、特定術語等，有助於篩選與案件相關的內容。
檔案類型與屬性過濾
根據檔案類型、大小、創建或修改日期等屬性進行過濾，將調查範圍縮小到特定類型檔案或時間段內的活動，提高效率。
資料抽樣分析
對於大量資料集，採用統計抽樣方法分析代表性資料，識別模式和趨勢，然後針對性深入調查可疑區域，節省時間成本。
自動化分析工具
利用人工智能和機器學習的自動化分析工具，識別異常模式、分類資料、提取關鍵資訊，減少人工分析工作量，提高處理效率。
請說明電腦犯罪中，侵害網路智慧財產權犯罪常見的類型為何？（10分）偵查此類犯罪所需相關的數位證據為何？（15分）
侵害網路智慧財產權犯罪常見類型
軟體盜版：未經授權複製或銷售軟體
數位內容盜版：未經授權散布音樂、電影等內容
網路侵權：未授權使用受保護內容於網站
商標侵權：銷售仿冒品或盜用商標
專利侵權：未授權使用專利技術
網域名稱搶註：惡意註冊相似網域名稱
偵查所需相關數位證據
伺服器日誌：記錄網站活動與檔案下載
網站內容備份：保存侵權網站完整內容
網路通訊記錄：追蹤IP位址與連線資訊
電子支付記錄：證明侵權獲利情況
電子郵件和通訊記錄：揭示侵權意圖
數位檔案元數據：證明檔案來源
域名註冊資訊：確定網站擁有者身份
數位證據（Digital Evidence）之意義為何與有何特性？（5分）如何分類並請繪圖說明。（10分）在犯罪偵查過程中，不論是傳統犯罪或電腦網路犯罪常見用來證明待證事實之數位證據有那些？（10分）
1
數位證據意義與特性
數位證據是以數位形式存在的資訊，可用於證明犯罪事實。特性包括：易變性、易複製、難以完全刪除、需專業工具解讀、跨境性。
數位證據分類
依存儲媒介：硬碟、固態硬碟、光碟、USB隨身碟等
依資料類型：文字檔案、圖像、音頻、視頻等
依揮發性：揮發性（RAM內容）與非揮發性（硬碟資料）
依來源：電腦系統、行動裝置、網路設備等
常見數位證據類型
系統日誌和事件記錄：系統活動、登入嘗試
通訊記錄：電話記錄、簡訊、即時通訊對話
電子郵件和附件：通信內容、發送時間
瀏覽歷史：網站訪問記錄、搜索歷史
社交媒體活動：貼文、留言、私訊
數位照片和視頻：含元數據的影像資料
金融交易記錄：網路銀行交易、電子支付
網路犯罪偵查有別於一般傳統犯罪偵查，試問在網路犯罪偵查程序大致上可以分為幾個階段？關於網路犯罪案件偵查的特徵為何？請申論說明之。
案件受理與初步評估
確定案件性質、嚴重程度和優先順序，判斷是否屬於網路犯罪範疇。
數位證據蒐集與保全
包括揮發性資料即時蒐集、電子設備扣押、網路流量監控，確保證據完整性和合法性。
數位鑑識分析
進行資料恢復、檔案分析、網路流量分析、惡意程式分析，提取相關資訊。
犯罪者身份確認
通過IP位址追蹤、帳號分析、電子支付記錄等，確認嫌疑人身份和位置。
案件文件製作與起訴
製作調查報告和證據清單，準備起訴文件，確保數位證據能被法庭有效採納。
網路犯罪案件偵查的特徵
跨地域性
犯罪常跨越地理界限，增加司法管轄權和國際合作複雜性。
技術專業性
需要專業數位鑑識技術和對網路技術的深入了解。
證據易變性
數位證據易被修改或刪除，需注意證據保全時效性。
匿名性挑戰
犯罪者可能使用代理、VPN等隱藏身份，增加追蹤難度。
數位鑑識作業程序
1
準備階段
確定法律授權、準備適當工具設備，並制定詳細的鑑識計劃。
蒐集階段
識別並記錄數位證據，使用適當方法保全揮發性和非揮發性資料，創建證據完整映像。
3
檢驗階段
使用專業工具處理蒐集的數位資料，進行資料恢復、解密和提取相關資訊。
4
分析階段
對提取的資料進行深入分析，建立時間線，確定關聯性，重建事件過程。
報告階段
記錄調查過程和發現，準備專業鑑識報告，包括方法、工具和結論。
科技帶來便利的同時也衍生許多犯罪行為，數位鑑識程序提供了系統化方法來處理電子證據，確保從犯罪現場到法庭的證據鏈完整可靠。
試問電腦犯罪案件偵查與數位鑑識的關係為何？是否所有的數位資料皆可以作為偵辦電腦犯罪案件的證據？請申論說明之。
1
偵查與鑑識的互補關係
電腦犯罪案件偵查與數位鑑識是互補關係，偵查提供調查方向和法律依據，數位鑑識提供技術支持和證據分析。
2
數位證據的法律要求
並非所有數位資料都可作為證據，需符合關聯性、真實性、完整性、合法性等要求。
3
證據收集的法律限制
證據收集必須遵循相關法律程序，如搜索令狀的取得、隱私權的保護等。
4
證據分析的專業性
數位證據需經專業分析和解釋，確保其可靠性和證明力。
電腦犯罪案件偵查與數位鑑識密不可分。偵查提供案件處理框架，數位鑑識則提供專業技術支持。數位資料要成為有效證據，必須滿足關聯性、真實性、完整性、合法性和可靠性。
部分數位資料可能因隱私保護、特權通訊或其他法律限制而不能作為證據使用。在電腦犯罪案件偵查中，必須謹慎評估每項數位資料的證據價值與法律適用性。
數位證據保全之意義為何？主要的程序為何？其與數位鑑識有何差別？請參考國際標準 ISO27037 加以說明。
數位證據保全與數位鑑識依據ISO27037國際標準有以下區別：
1
數位證據保全之意義
確保數位證據的完整性、真實性和可靠性，使其能在法律程序中被接受。ISO27037標準強調數位證據的可識別性、可收集性、可保存性和可分析性。
2
主要程序
ISO27037標準的四大關鍵程序：
識別（Identification）：確定潛在數位證據及其存儲位置
收集（Collection）：使用適當方法獲取數位證據
獲取（Acquisition）：創建數位證據的完整副本或映像
保存（Preservation）：確保證據在整個生命週期中的完整性
3
與數位鑑識的差別
範圍：保全關注證據的識別、收集和保存；鑑識包括分析、解釋和報告
時間點：保全通常在事件初期進行；鑑識在整個調查過程中持續
目的：保全確保證據完整性；鑑識提取有價值信息並解釋
執行者：保全可由第一響應者執行；鑑識需專業分析師
何謂網路詐欺犯罪模式及偵查模式？（5分）其常見網路詐欺型態及手法為何？（5分）又警察人員如何偵辦此網路詐欺犯罪？（5分）另如何針對網路詐欺發展一有效整合之偵查機制，請詳細舉例說明，並繪圖之。（10分）
網路詐欺犯罪從形成到偵查需要系統性的理解與應對策略：
網路詐欺犯罪模式及偵查模式
網路詐欺犯罪模式指利用網路環境實施欺騙行為，誘使被害人交付財物或提供敏感資訊的作案手法。偵查模式則是執法機關針對此類犯罪所採取的調查策略，包括數位證據蒐集和犯罪者追蹤。
2
常見網路詐欺型態及手法
網路購物詐欺：虛設網路商店或在拍賣平台詐騙
假冒身分詐欺：冒充親友、政府機關或企業
投資理財詐欺：虛構高報酬投資項目
釣魚網站：仿冒正規網站竊取用戶資料
勒索軟體：加密受害者資料，要求贖金
警察人員偵辦網路詐欺犯罪方法
數位足跡追蹤：分析IP位址、電子郵件等
金流追查：追蹤詐騙所得的資金流向
通聯分析：調查通訊記錄和聯繫網絡
跨部門與國際合作：與金融機構、電信業者協作
網路詐欺有效整合偵查機制
中央協調指揮中心：統一指揮、資源調度
情資共享平台：案件資料庫、預警機制
專業偵查小組：數位鑑識、金流分析
公私協作機制：與金融機構、網路平台合作
預防宣導教育：提升公眾意識、即時預警
對於冒用他人以電子郵件散發妨害他人名譽的電子郵件之犯罪：(一)犯嫌躲避追緝常用之犯罪模式為何？（10分）(二)如何縮小偵查範圍？（5分）(三)可能觸犯之刑法罪名有那些？（10分）
犯嫌躲避追緝常用之犯罪模式
犯罪者通常透過多種技術手段掩蓋身份，包括：使用匿名電子郵件服務、利用公共Wi-Fi網路、使用VPN或代理伺服器隱藏IP、採用一次性郵箱、利用殭屍網路轉嫁風險、偽造郵件標頭資訊及使用Tor網絡等方式躲避追查。
縮小偵查範圍的方法
縮小偵查範圍可通過分析郵件標頭技術資訊、追蹤IP位址來源、進行內容語言分析、研究發送時間模式及調查受害者與可能嫌疑人之間的關係動機等方式進行。
可能觸犯之刑法罪名
相關行為可能觸犯多項法律規定，主要包括：刑法第310條誹謗罪、第312條侮辱罪、第318條之1無故入侵電腦系統罪、第318條之2妨害電腦使用罪、第339條詐欺罪、第358條冒用電腦設備犯罪，以及違反個人資料保護法相關規定。
在網路犯罪偵查中，IP 位址與WHOIS 網站最為關鍵。(一)IP 位址之功能為何？（5分）(二)WHOIS 網站之功能為何？（5分）(三)若犯嫌利用電子郵件犯罪，說明以IP 位址與WHOIS 網站為基礎之犯罪偵查流程。（15分）
IP位址與WHOIS網站功能及以其為基礎的犯罪偵查流程
IP位址功能
網路識別、位置定位、資料路由、網路通訊和網路管理的唯一數字標識符
WHOIS網站功能
查詢域名、IP位址和ASN的註冊資訊，包括域名查詢、IP分配、聯絡與技術資訊
分析電子郵件標頭
提取完整郵件標頭，識別發送IP位址、郵件伺服器和時間戳記等資訊
IP位址查詢
確定IP的地理位置、所屬ISP和網路範圍
WHOIS資料庫查詢
查詢IP位址的註冊資訊，包括分配組織、聯絡人資訊和分配日期
聯繫ISP獲取用戶資訊
依法向ISP提出請求，獲取使用該IP的用戶資訊，包括帳號和身份資料
收集補充證據
結合其他數位證據，如登入日誌、網站訪問記錄等，建立完整證據鏈
確認嫌疑人身份
綜合分析所有資訊，確定嫌疑人身份和位置，為後續行動提供依據
由於國內使用網路社群媒體及相關即時通訊軟體的人數逐漸增加，不法分子也開始利用這些管道來進行犯罪行為。試問：網路社群媒體資料有那些種類與其儲存方式為何？（10分）執法人員在進行網路社群媒體相關的犯罪案件偵查應遵守與注意的相關法律規範為何？（15分）
網路社群媒體資料種類與儲存方式及執法人員應遵守的法律規範
用戶資料
個人資料、聯絡資訊等，儲存在平台用戶資料庫
內容資料
貼文、照片、影片等，儲存在CDN或雲端系統
互動資料
按讚、分享等記錄，儲存在關聯式或圖形資料庫
行為資料
登入時間、裝置、位置資訊，記錄在日誌系統
通訊資料
私訊、群組對話等，可能採用端對端加密儲存
憲法保障的隱私權
執法人員必須尊重個人隱私，不得過度侵入
刑事訴訟法規定
搜索扣押應取得令狀，符合法定程序
通訊保障及監察法
監察通訊內容須依法取得通訊監察書
個人資料保護法
資料蒐集須符合目的限制與比例原則
證據能力要求
確保數位證據符合真實性、完整性和可靠性
由於國內使用網路社群媒體及通訊軟體的人數逐漸增加，不法分子也開始利用這些管道來進行犯罪行為。試問：常見的網路社群犯罪類型有那些？（5分）網路社群犯罪的特性為何？（10分）犯罪偵查執法人員對網路社群犯罪的犯罪偵查模式為何？（10分）
1
常見的網路社群犯罪類型
網路詐欺、網路霸凌、個資盜用、散布不實訊息、兒少性剝削、販賣違禁品、侵害智慧財產權
2
網路社群犯罪的特性
匿名性：犯罪者可利用假身分隱藏真實身份
跨地域性：犯罪行為可跨越地理界限
快速傳播：有害內容可在短時間內大範圍傳播
技術依賴：犯罪手法常結合新技術，如深偽技術
證據易變性：數位證據容易被刪除或修改
社交工程：利用人際關係和心理操縱進行犯罪
3
網路社群犯罪的偵查模式
數位足跡追蹤：分析IP位址、裝置及登入記錄
社群網絡分析：研究犯罪者的社交互動模式
內容分析：分析發布內容的特徵和模式
線上臥底：執法人員以化名帳號進行調查
與平台合作：透過法律程序請求用戶資料
國際合作：跨國案件需與國際執法機構協作
技術取證：使用專業工具提取和分析證據
請說明A以「特洛伊木馬程式」取得他人之線上遊戲的帳號密碼並竊取他人線上遊戲虛擬寶物的行為，A所觸犯的刑法罪名為何？（5分）試說明該刑法條文規範所保護的法益與犯罪構成要件為何？（10分）並說明於偵辦線上遊戲犯罪案件的偵查步驟或方向為何？（10分）
A以「特洛伊木馬程式」取得他人之線上遊戲的帳號密碼並竊取虛擬寶物的行為，可能觸犯多項刑法罪名。
1
A所觸犯的刑法罪名
刑法第358條：無故入侵他人電腦或其相關設備罪
刑法第359條：無故取得、刪除或變更他人電腦之電磁紀錄罪
刑法第320條：普通竊盜罪（針對虛擬寶物的竊取）
2
刑法條文規範所保護的法益
電腦系統的安全性與完整性
電磁紀錄的真實性與可靠性
資訊隱私與財產權
3
犯罪構成要件
客觀要件：行為人無故取得、刪除或變更他人電腦之電磁紀錄
主觀要件：行為人對於自己的行為有認識且有意願（故意）
行為對象：他人電腦之電磁紀錄（包括帳號密碼、虛擬寶物等）
4
偵查步驟與方向
受理報案與初步調查：記錄案件細節，包括遊戲平台、帳號資訊等
數位證據蒐集：登入日誌、IP位址記錄、交易記錄、聊天記錄等
惡意程式分析：分析特洛伊木馬程式樣本，了解其功能與傳播方式
IP追蹤與身份確認：向網路服務提供商請求用戶資訊
虛擬物品流向追蹤：追蹤被竊虛擬寶物的交易與轉移
隨著網際網路技術的提升，行動通信裝置尤其是智慧型手機帶來的便利性，成為有心人士犯罪工具。試問：智慧型手機所儲存的電磁紀錄與數位內容有那些？（10分）若犯罪偵查執法人員進行犯罪偵查，擬取得某智慧型手機所使用的通訊軟體應用程式中所儲存的「過去已結束」之通訊內容數位資料，應遵循與注意那些相關法律規範？（15分）
1
智慧型手機所儲存的電磁紀錄與數位內容
通訊記錄：通話紀錄、簡訊、即時通訊對話內容
個人資料：聯絡人資訊、行事曆、備忘錄
多媒體檔案：照片、影片、音訊檔案
位置資訊：GPS定位記錄、地圖搜尋歷史
網路活動：瀏覽歷史、搜尋記錄、下載檔案
應用程式資料：應用程式的設定及使用記錄
2
智慧型手機數位內容（續）
系統日誌：裝置開關機時間、應用程式使用時間
帳號資訊：各種服務的登入憑證（可能加密儲存）
電子支付資訊：行動支付記錄、電子錢包交易
健康數據：步數、心率、睡眠記錄等健康資訊
雲端同步資料：與雲端服務同步的各類資料
3
取得「過去已結束」之通訊內容的法律規範
憲法第12條：保障人民秘密通訊自由
刑事訴訟法第128-131條：需取得搜索票
刑事訴訟法第133條：扣押物品應開列清單
通訊保障及監察法：尊重通訊隱私
個人資料保護法：符合特定目的和比例原則
4
數位證據相關法律規範
證據能力要求：確保真實性、完整性和可靠性
令狀特定性原則：明確指定搜索範圍
比例原則：調查手段須與案件嚴重性相稱
證據保管鏈：從蒐集到分析的每步驟都有完整記錄
專業鑑識程序：使用經驗證的工具提取數據
智慧型手機已經成為生活中不可或缺的必需品，個人的行事曆、照片、電子郵件、通訊錄、通話紀錄等都存放在小小的裝置中，形同一台小型的隨身電腦。在偵辦電腦網路犯罪案件時，若有搜索與扣押犯罪嫌疑人隨身攜帶的智慧型手機的需要，應遵守與注意那些相關法律與規範？請申論說明之。
搜索令狀的取得
依據刑事訴訟法第128條至第131條的規定，向法院聲請並取得搜索票，除非符合緊急搜索的例外情況。
令狀特定性原則
搜索令狀必須明確指定搜索的對象、範圍和目的，對於智慧型手機，應明確說明需要搜索的資料類型和時間範圍。
隱私權保護
尊重憲法第12條保障的秘密通訊自由和個人隱私權，搜索應限制在與案件相關的範圍內。
證據保全程序
扣押後立即採取保全措施：啟用飛航模式防止遠程刪除、使用法拉第籠防止信號干擾、及時製作完整備份。
證據保管鏈維護
建立完整的證據保管鏈，記錄從扣押到分析的每一環節，確保證據的真實性和完整性。
在智慧型手機上進行數位證物蒐集，依照所採集的檔案資料可以區分為邏輯萃取（Logical Acquisition）和實體萃取（Physical Acquisition）兩者，請描述其方法，並說明其在偵查實務上之應用。
智慧型手機數位取證可區分為兩種主要萃取方式，各有不同特點及適用情境：
邏輯萃取（Logical Acquisition）
方法描述：通過設備的操作系統和檔案系統介面獲取可見檔案。使用專業取證軟體如Cellebrite UFED等，需要設備處於開機狀態，僅能獲取當前檔案系統中可見資料。
偵查實務應用：適用於需要快速獲取特定資料的情況，如緊急案件。用於獲取通訊記錄、聯絡人、照片等未被刪除的資料，在資源有限或時間緊迫情況下的首選方法。
實體萃取（Physical Acquisition）
方法描述：從設備儲存媒體創建完整的位元對位元副本，繞過操作系統直接讀取原始資料。可能需要JTAG、Chip-off或ISP等特殊技術，能夠獲取已刪除、隱藏和系統資料。
偵查實務應用：適用於需要全面深入調查的重大案件，當需要恢復已刪除資料或分析隱藏資料時。用於繞過設備加密，進行深度鑑識分析，在高價值案件使用。
甲機關通報內政部警政署刑事警察局偵查第九大隊（以下簡稱偵九隊），說明發現該機關有部分個人電腦會不定時向特定不明中繼站報到，並發現有重要檔案被傳送出去，懷疑遭到駭客入侵並竊取機關案件資料，主動請偵九隊協助。你受指派擔任此一事件對於該機關進行數位證據蒐集擷取等工作，以便進行後續之鑑識，請問：本案所涉法律為何？你事前（出發前）會做何準備？到現場發現電腦是開機狀態，採證之重點資料項目為何？如何採證以確保所蒐集保存之資料具備數位證據能力？
1
本案所涉法律
刑法第358條：無故入侵他人電腦或其相關設備罪
刑法第359條：無故取得、刪除或變更他人電腦之電磁紀錄罪
刑法第360條：干擾他人電腦或其相關設備罪
政府機關資通安全管理法及個人資料保護法
事前準備工作
準備數位鑑識工具包，包括取證軟體、硬體寫保護器
準備記憶體取證工具及網路流量分析工具
準備證據袋、標籤與相關文件
與甲機關聯繫，了解網路架構與受影響系統
確認取證授權和相關法律文件
開機狀態下的採證重點資料項目
揮發性記憶體（RAM）內容及運行中的進程
開啟的網絡連接、通訊埠與遠程連接資訊
系統日誌、事件記錄與網路流量
可疑程式、異常檔案與自動啟動項目
4
確保數位證據能力的採證方法
遵循標準作業程序與使用經過驗證的取證工具
先獲取揮發性資料，使用寫保護設備防止修改
計算所有證據的雜湊值並建立完整的證據保管鏈
詳細記錄採證步驟，確保時間戳記準確性
保存原始資料，在副本上進行分析
網路犯罪往往有跨越國家疆界的特性。請回答下列問題：(一)何謂「跨境網路犯罪」？（8分）(二)跨境網路犯罪對犯罪偵查上產生那些挑戰？（8分）(三)請以跨境網路詐欺為例，就偵查對象、偵查手段、偵查結果和偵查結束時對案件之處理等方面，闡述跨境網路犯罪偵查必須對一般國內電腦詐欺犯罪偵查作何種必要之延伸。（9分）
何謂「跨境網路犯罪」
跨境網路犯罪是指犯罪行為或其效果跨越國家或地區界限的網路犯罪活動。其特點包括：犯罪者與被害人位於不同國家、犯罪行為跨越多個司法管轄區、犯罪工具或伺服器分布在不同國家、犯罪所得流向跨國、犯罪集團成員分布多國，以及利用不同國家法律差異逃避追查。
跨境網路犯罪對犯罪偵查上產生的挑戰
司法管轄權衝突、各國法律制度差異、國際合作程序複雜、跨國取證困難、國際合作耗時可能導致證據滅失、語言和文化障礙、各國數位鑑識能力差距，以及資源分配問題等。
偵查對象延伸
除直接犯罪者外，需調查國際犯罪網絡、境外機房、洗錢集團、資金中轉人等；建立犯罪集團的組織結構和跨國活動圖譜。
偵查手段延伸
需運用國際刑警組織紅色通報、國際司法互助請求、聯合調查小組、跨國同步行動等國際合作機制；利用外交渠道和雙邊協議促進合作；需專業翻譯和國際法律專家參與。
偵查結果延伸
證據需符合多國法律標準，確保在不同司法管轄區均具證據能力；調查報告可能需翻譯成多種語言；證據保全需考慮不同國家的法律要求。
6
案件處理延伸
需決定最終起訴地點，可能涉及犯罪嫌疑人引渡程序；協調多國同時起訴或分別起訴的策略；處理跨國資產凍結和追回；考慮被害人跨國賠償機制。
2020年我國警方受理 2 萬多件的詐欺案，其中因網路拍賣、購物交易而遭騙的案件最多。試問：當今常見的網路交易詐欺犯罪類型為何？（5分）執法人員因應網路交易詐欺犯罪偵查模式為何？（10分）偵查網路交易詐騙的犯罪現場蒐證與保全該如何進行？（10分）
常見的網路交易詐欺犯罪類型
虛假商品詐欺：刊登不存在的商品或與描述不符的商品
預付款詐欺：收取貨款後不出貨或寄送劣質品
假冒購物網站：建立仿冒知名購物平台的網站
虛假賣家身分：使用盜用或虛構的身分
退款詐欺：以退款為由騙取銀行或信用卡資訊
執法人員因應網路交易詐欺犯罪偵查模式
數位足跡追蹤：分析IP位址、裝置資訊、帳號活動
金流追查：追蹤詐騙所得的資金流向
網站分析：對可疑網站進行技術分析
社群媒體調查：分析嫌疑人在社群媒體的活動
與平台合作：向電商平台請求用戶資料和交易記錄
國際合作：跨國案件需與國際執法機構協作
3
網路交易詐騙的犯罪現場蒐證與保全
網頁保全：保存詐騙網站或交易頁面的完整副本
通訊記錄保全：保存買賣雙方的通訊記錄
交易記錄保全：取得並保存平台交易記錄與付款證明
數位證據時間戳記：確保所有數位證據有準確時間戳記
證據保管鏈建立：記錄證據從收集到分析的每一環節
數位鑑識報告製作：詳述證據收集和分析過程
回答以下有關電腦之問題：（每小題 5分，共 25分）
1
(一)某中文字之Big-5碼為(FA40)16，請問 Big-5碼至多可表示幾個中文字？
Big-5碼使用兩個位元組表示中文字，第一個位元組範圍為0x81-0xFE，第二個位元組範圍為0x40-0x7E和0xA1-0xFE。計算：94×(63+94)=94×157=14,758個中文字。
2
(二)有一部數位電影共有 10秒，每秒放映 20張影像，每張影像有 100×50個像素（Pixel），像素之顏色以32位元（Bit）表示，每一張影像有多少位元組（Byte）？
每張影像位元組 = 像素數 × 每像素位元數 ÷ 8 = 100 × 50 × 32 ÷ 8 = 5,000 × 4 = 20,000位元組
3
(三)承(二)，此部電影之資料量為多少位元組？
電影總資料量 = 20,000 × 20 × 10 = 4,000,000位元組 = 4 MB
4
(四)某一聲音資料共有10秒，取樣頻率為 80Hz（次/秒），取樣後之資料共有幾筆？
取樣資料筆數 = 80 × 10 = 800筆
5
(五)承(四)，若量化位元數為12，則儲存此聲音資料需要多少位元組？
儲存所需位元組 = 800 × 12 ÷ 8 = 1,200位元組
虛擬貨幣為目前常被犯罪者使用之貨幣之一，請舉例說明三種虛擬貨幣犯罪態樣並且說明虛擬貨幣查扣之流程。
1
勒索軟體攻擊
犯罪者利用惡意軟體加密受害者檔案，要求支付虛擬貨幣作為解密贖金。常針對企業、醫院或政府機構等組織，造成營運中斷和資料損失。
2
洗錢活動
利用虛擬貨幣的匿名性和跨境特性，將非法所得轉換為虛擬貨幣，通過多層交易或混幣服務進行洗錢，隱藏資金的非法來源。
3
投資詐騙
設立虛假的虛擬貨幣投資平台或發行虛假代幣，承諾高額回報吸引投資者。實際為龐氏騙局，犯罪者最終關閉平台並捲款潛逃。
4
虛擬貨幣查扣流程 - 識別與追蹤
利用區塊鏈分析工具追蹤虛擬貨幣流向，識別犯罪相關錢包地址和交易記錄。
5
法律程序
依據法律規定，向法院申請查扣令或凍結令，取得對特定虛擬貨幣錢包的查扣授權。
6
技術查扣與資產轉移
取得嫌疑人私鑰或錢包存取權，將查扣的虛擬貨幣轉移到執法機關控制的安全冷錢包中。
7
保管與後續處理
建立完整保管鏈記錄，根據案件進展和法院判決，決定返還、沒收或拍賣查扣的虛擬貨幣。
數位鑑識之資料分析階段，乃針對案件與解決的問題進行分析。電腦犯罪多半與網路行為相關，因此需要分析網路行為。說明如何監控與解析網路行為，並說明網路封包分析工具之應用。
數位鑑識之資料分析階段，需針對網路行為進行全面性分析：
1
網路行為監控方法
網路監控方式包含：
網路流量捕獲：在關鍵節點設置流量捕獲設備
日誌收集：收集防火牆、路由器等網路設備日誌
入侵檢測系統：監控可疑網路活動
NetFlow分析：了解網路流量模式
網路行為解析技術
多層次分析包含：
封包層級分析：檢查封包標頭和內容
會話重建：還原完整通訊內容
協議分析：分析HTTP、DNS等協議行為
內容提取：提取文件、圖像等內容
網路封包分析工具應用
常用工具及功能：
Wireshark：開源封包分析工具，提供協議分析功能
Tcpdump：命令行工具，適合伺服器環境使用
NetworkMiner：專注於內容提取的工具
Snort/Suricata：入侵檢測系統，識別網路攻擊
資通安全是一種風險管理概念，透過資安預防、資安防護、證據保全與專業鑑識等四大構面（4P's Model），落實以風險管理為核心的資安防禦策略。
1
資安預防（Prevention）
著重於事前預防措施，避免資安事件發生
風險評估與安全政策制定
人員安全意識培訓
系統安全設計與漏洞管理
存取控制與身分驗證
資安防護（Protection）
建立多層次防禦機制，減輕資安事件的影響
網路安全：防火牆、入侵檢測系統
端點安全與資料安全措施
實體安全與應用程式安全
安全監控與事件管理
3
證據保全（Preservation）
確保資安事件發生後，相關證據能被妥善保存
日誌管理與事件響應計劃
數位證據收集與證據保管鏈
取證映像與時間同步
4
專業鑑識（Presentation）
分析證據並以專業方式呈現調查結果
證據分析與事件重建
鑑識報告撰寫與專家證詞
改進建議與知識管理
目前的犯罪偵查工作中，多數案件需要數位鑑識，因此需要蒐集與鑑識數位證據，請說明數位證據標的種類。此外，不同的數位證據需要使用不同的鑑識工具進行分析，請列舉與說明至少兩個數位鑑識工具。
1
數位證據標的種類
電腦系統證據：硬碟資料、記憶體內容、系統日誌等
網路證據：網路流量、連線記錄、IP位址等
行動裝置證據：通話記錄、簡訊、位置資訊等
雲端服務證據：電子郵件、線上帳戶活動等
物聯網與儲存媒體：智慧家居設備、USB隨身碟等
其他證據：資料庫、應用程式、多媒體、虛擬環境
2
數位鑑識工具 - EnCase Forensic
EnCase是廣泛使用的商業數位鑑識工具，提供全面的證據收集與分析功能：
支持多種檔案系統和設備類型的取證分析
提供關鍵字與正則表達式搜索功能
能夠恢復已刪除的檔案和分區
具有法庭認可的證據保全機制
3
數位鑑識工具 - Autopsy/The Sleuth Kit
Autopsy是開源的數位鑑識平台，基於The Sleuth Kit框架開發：
支持時間線分析，重建事件序列
提供關鍵字搜索和檔案類型過濾
能夠提取Web瀏覽歷史、圖像和視頻
具有可擴展的模組架構，允許社區開發插件
在電腦犯罪偵查中，警察有時要作「記憶體鑑識」。(一)請解釋何謂記憶體鑑識？（6分）(二)請說明記憶體鑑識之必要性。（6分）(三)與在硬碟裡的資料鑑識相比，請問記憶體鑑識之特殊性為何？（6分）(四)請以您所熟悉的數位鑑識工具，描述記憶體鑑識的步驟。（7分）
1
何謂記憶體鑑識
記憶體鑑識是對電腦系統的揮發性記憶體（RAM）進行擷取、保存和分析的過程。它專注於從運行中的系統記憶體中獲取數位證據，包括正在執行的程序、開啟的檔案、網路連接、加密金鑰、惡意程式等資訊，這些資訊通常在系統關機後就會消失。
2
記憶體鑑識之必要性
揮發性資料保全：關鍵證據僅存在於記憶體中，系統關機後即消失
惡意程式偵測：現代惡意程式可僅在記憶體中運行，不寫入硬碟
加密資料獲取：可能在記憶體中找到解密後的內容或金鑰
即時系統狀態：提供系統當前運行狀態的完整快照
3
記憶體鑑識與硬碟鑑識之特殊性比較
資料揮發性：記憶體資料是揮發性的；硬碟資料是持久性的
時效性要求：記憶體鑑識需在系統運行時立即進行
資料結構：記憶體資料結構更複雜，與作業系統版本相關
證據類型：記憶體提供動態資訊；硬碟主要提供靜態記錄
4
記憶體鑑識步驟（使用Volatility工具）
記憶體獲取：使用FTK Imager、DumpIt等從運行中系統獲取記憶體映像
映像保存：將記憶體映像保存到外部存儲設備，計算雜湊值
初步分析：使用Volatility確定記憶體映像的作業系統版本
進程分析：分析運行中的進程和進程樹
網絡連接分析：檢查活動網絡連接
惡意程式檢測：識別可能的惡意代碼注入
警察機關在過去已經累積了大量的治安及犯罪資料，而今巨量資料分析（Big DataAnalytics）技術已臻成熟，可以用於犯罪偵查之上。(一)請舉兩個在電腦犯罪偵查上的可能應用，並作必要之說明。（12分）(二)巨量資料分析雖可運用在犯罪偵查上，但是必須遵守一些原則，才能使偵查行為符合法律規定（Regulatory Compliance）。請舉兩個在電腦犯罪偵查上應守之原則，並作必要之說明。（13分）
1
巨量資料分析在電腦犯罪偵查上的可能應用
網路攻擊模式識別與預測：分析網路流量數據、入侵檢測系統日誌和攻擊事件報告，可建立攻擊特徵庫和預測模型。此技術能識別新舊攻擊的相似性、預測可能的攻擊目標、關聯不同攻擊事件、分析攻擊者的戰術技術，以及識別零日漏洞利用模式。
2
數位足跡分析與犯罪者畫像：整合社交媒體活動、通訊記錄、網站訪問等多源數據，建立全面犯罪者畫像。可識別犯罪者行為模式與偏好、關聯不同案件的數位證據、分析犯罪者社交網絡、追蹤虛擬身份背後的真實個人，並預測犯罪者可能的下一步行動。
3
電腦犯罪偵查上應守之原則
目的限制與比例原則：資料收集必須有明確法律依據和調查目的；分析方法應與案件嚴重性相稱；資料保留期限須有合理限制；禁止將特定案件的資料用於無關目的；應優先採用影響較小的調查方法。
4
透明度與問責制：建立明確的分析程序與政策；記錄所有資料分析活動；確保分析結果可解釋性；設立獨立監督機制；提供適當法律救濟途徑；定期評估分析技術的準確性和公平性，避免系統性偏見。
請說明駭客發起分散式阻斷服務攻擊（DDoS）之流程；（10分）DNS放大攻擊為DDoS攻擊手法之一，請說明其攻擊特點以及原理。（15分）
1
DDoS攻擊流程
目標選擇與偵察：選定攻擊目標，了解系統弱點和網路架構
殭屍網路建立：透過惡意軟體感染大量設備，建立受控殭屍網路
命令與控制：設置C&C伺服器，用於發送攻擊指令和協調行動
發起攻擊：向殭屍網路發送指令，同時針對目標系統發起大量請求
監控與調整：持續監控攻擊效果，根據目標防禦反應調整策略
2
DNS放大攻擊特點
利用DNS回應封包遠大於請求封包的特性，實現流量放大（典型放大比率28-54倍）
攻擊者不直接攻擊目標，而是利用DNS伺服器反射攻擊流量
使用偽造的源IP地址，難以追溯攻擊真正來源
無需控制大量殭屍電腦，濫用公共DNS解析器即可發動攻擊
3
DNS放大攻擊原理
攻擊者發送帶有偽造源IP（目標受害者IP）的DNS請求
選擇會產生大量回應數據的DNS查詢類型（如ANY、TXT或DNSSEC記錄）
DNS伺服器將大量回應數據發送到受害者IP，淹沒網路帶寬
攻擊者利用多個開放DNS解析器同時發起查詢，進一步增加攻擊流量
4
防禦措施
網路運營商實施源地址驗證（BCP38/SAVE標準），防止IP欺騙
DNS伺服器限制遞迴查詢，減小回應封包大小
使用DDoS防禦服務過濾異常DNS流量
採用CDN或負載均衡技術分散流量
請說明下列名詞意涵及使用於何情境：（每小題5分，共25分）
(一) SQL Injection (二) APT（Advanced Persistent Threat）(三)滲透測試 (四)弱點掃描（並說明與滲透測試之差別）(五)分散式阻斷服務攻擊法（Distributed Denial of Service Attack）
1
SQL Injection
意涵：一種程式碼注入技術，攻擊者通過插入惡意SQL語句，執行未經授權的資料庫操作。
使用情境：網站安全測試、資料庫安全評估、網路犯罪調查。攻擊者可能竊取敏感資料、繞過身份驗證、修改資料庫內容。
2
APT（Advanced Persistent Threat）
意涵：長期、針對性的網路攻擊，通常由具有豐富資源的組織發起，目標明確且持續時間長。
使用情境：針對政府機構、關鍵基礎設施、大型企業的網路間諜活動。包含初始入侵、權限提升、橫向移動、資料竊取等階段。
3
滲透測試
意涵：模擬真實攻擊者的安全評估方法，由授權安全專家嘗試利用系統漏洞，評估組織安全防禦能力。
使用情境：組織安全評估、合規性驗證、系統上線前安全檢查。使用社交工程、漏洞利用等技術，提供詳細報告和改進建議。
4
弱點掃描
意涵：使用自動化工具識別系統中已知安全漏洞的過程。與滲透測試不同，主要識別漏洞而不實際利用它們。
使用情境：定期安全檢查、合規性審計、漏洞管理。為安全維護的常規部分，快速識別需要修補的系統。
5
分散式阻斷服務攻擊法（DDoS）
意涵：攻擊者控制多台受感染電腦同時向目標系統發送大量請求，耗盡資源導致服務中斷。
使用情境：網路犯罪、勒索、競爭破壞。可能針對網站、線上服務、DNS伺服器，造成服務不可用和經濟損失。
對於利用拍賣網站詐騙金錢之犯罪：(一)其犯罪模式為何？（10分）(二)犯嫌躲避追緝常用之技巧為何？（10分）(三)所觸犯之刑法罪名為何？（5分）
拍賣網站詐騙犯罪模式
1
虛假商品刊登
犯罪者刊登不存在或與描述不符的商品，以低於市場價格吸引買家，通常選擇熱門電子產品、限量或季節性高需求商品。
2
建立可信賣家形象
進行小額正常交易累積正面評價，或使用盜用/購買的高評價帳號，偽造交易記錄和評價增加可信度。
3
要求非平台支付
引導買家使用平台外支付方式（銀行轉帳、電子支付、虛擬貨幣），規避平台的交易保護機制。
4
收款後失聯
收到付款後立即中斷聯繫，不發貨或發送劣質/假冒商品，並刪除帳號或更換身份繼續作案。
5
多重詐騙變形
包括假冒賣家身分、高價收購詐騙（要求賣家先付運費）、虛假競標詐騙（誘導賣家在平台外交易）等。
犯嫌躲避追緝常用技巧
1
身分隱匿
使用假身分證件或冒用他人身分註冊，利用人頭帳戶收款，避免關聯到真實身分。
2
IP地址隱藏
使用VPN、代理伺服器或Tor網絡，或在公共Wi-Fi場所操作，隱藏真實IP地址。
3
多重轉帳
將詐騙所得在多個銀行帳戶間快速轉移或轉換為虛擬貨幣，建立複雜資金流向。
4
頻繁更換設備與帳號
使用預付卡門號或一次性電話，頻繁更換通訊設備和帳號，避免建立可追蹤使用模式。
5
跨境操作
從國外操作詐騙活動，利用司法管轄權差異和國際合作複雜性，增加調查難度。
所觸犯之刑法罪名
1
詐欺罪
刑法第339條：意圖為自己或第三人不法之所有，以詐術使人將本人或第三人之物交付者。
2
加重詐欺罪
刑法第339條之4：以網際網路等傳播方法，對公眾散布而為之詐欺。
3
偽造文書罪
刑法第210條：若涉及偽造證件或文書用於詐騙活動。
4
洗錢罪
洗錢防制法：隱匿或掩飾因重大犯罪所得財物或財產上利益。
5
刑法第358條
若涉及入侵他人帳號或使用他人網路身分進行詐騙。
調查惡意程式相關案件時，可能會使用靜態分析以及動態分析的技術，請說明何謂靜態分析及動態分析？並說明這兩種分析方式的優缺點。
1
靜態分析
定義：在不執行惡意程式的情況下，通過檢查程式碼、結構和特徵來分析惡意程式的技術。
主要技術：雜湊值計算與比對、字符串提取、反編譯/反組譯、程式結構分析、API調用分析
優點：
安全性高：不需執行惡意程式，不會造成系統感染
全面性：可分析所有代碼路徑
效率：可快速進行初步分析
缺點：
難以分析混淆代碼
無法觀察實際行為
難以分析變形惡意程式
2
動態分析
定義：在受控環境中實際執行惡意程式，觀察和記錄其行為、系統交互和網絡通信的技術。
主要技術：行為監控、系統調用追蹤、網絡流量分析、記憶體分析、沙箱環境分析
優點：
直接觀察實際行為
有效應對混淆技術
可發現隱藏功能
缺點：
安全風險：執行惡意程式有潛在風險
資源密集：需要專用環境和較多時間
環境感知規避：惡意程式可能檢測分析環境並改變行為
請依個人資料保護法回答下列問題：(一)公務機關對個人資料之蒐集或處理，除法律明文規定外，應有特定目的，並符合那些可能情形之一。（6分）(二)公務機關對個人資料之利用，除法律明文規定外，應於執行法定職務必要範圍內為之，並與蒐集之特定目的相符。但有那些情形之一者，得為特定目的外之利用。（19分）
依據個人資料保護法，公務機關處理個人資料必須遵循以下規定：
1
公務機關對個人資料之蒐集或處理
依據個人資料保護法第15條規定，公務機關對個人資料之蒐集或處理，除法律明文規定外，應有特定目的，並符合下列情形之一：
執行法定職務必要範圍內
經當事人書面同意
對當事人權益無侵害
2
公務機關得為特定目的外利用個人資料的情形
依據個人資料保護法第16條規定，得為特定目的外之利用情形：
法律明文規定
為維護國家安全或增進公共利益所必要
為免除當事人之生命、身體、自由或財產上之危險
為防止他人權益之重大危害
公務機關或學術研究機構基於公共利益為統計或學術研究而有必要，且資料經處理後無從識別特定之當事人
有利於當事人權益
經當事人書面同意
請根據我國刑法回答下列問題：(一)請條列說明妨害電腦使用罪之行為並註記那些屬告訴乃論。（20分）(二)承上題，那些行為之對象為公務機關之電腦或其相關設備時，加重其刑，又加重之程度為何？（5分）
1
第358條：無故入侵他人電腦罪
無故入侵他人電腦或其相關設備者，處三年以下有期徒刑。屬告訴乃論。
對象為公務機關時：加重為一年以上七年以下有期徒刑，得併科三百萬元以下罰金，且改為非告訴乃論。
2
第359條：無故取得、刪除或變更電磁紀錄罪
無故取得、刪除或變更他人電腦之電磁紀錄，致生損害者，處五年以下有期徒刑。屬告訴乃論。
對象為公務機關時：加重為三年以上十年以下有期徒刑，得併科一千萬元以下罰金，且改為非告訴乃論。
3
第360條：無故干擾他人電腦罪
無故干擾他人電腦或其相關設備，致生損害者，處三年以下有期徒刑。屬告訴乃論。
對象為公務機關時：加重為七年以下有期徒刑，得併科五百萬元以下罰金，且改為非告訴乃論。
4
第362條：製作犯罪電腦程式罪
製作專供犯前述各罪之電腦程式，而致生損害者，屬告訴乃論。
對象為公務機關時：加重為五年以下有期徒刑，得併科二百萬元以下罰金，且改為非告訴乃論。
5
第363條：告訴乃論之例外
入侵電腦取得他人資料、入侵電子支付帳戶進行非法交易、干擾電腦致生損害，或無故利用他人電腦執行程式致生損害者，不屬告訴乃論。
公務機關電腦犯罪加重規定：對公務機關電腦犯第358至360條之罪者，均加重其刑且改為非告訴乃論。
請解釋說明下列 OWASP 公告之網站安全弱點。（每小題 5分，共 25分）(一)Security Misconfiguration(二)Cross-Site Scripting(三)Insecure Deserialization(四)Injection Flaws(五)Broken Authentication
Security Misconfiguration（安全配置錯誤）
指系統、框架或平台的安全設定不當或不完整。包括使用預設配置、開啟不必要的服務、錯誤的權限設定等。常見問題有：未關閉默認帳號、目錄列表未禁用、錯誤處理機制洩露堆疊追蹤、伺服器暴露過多版本信息。攻擊者可利用這些錯誤配置獲取系統信息或未授權訪問。防範措施：實施安全強化流程、定期安全審計、自動化配置驗證。
Cross-Site Scripting（跨站腳本攻擊）
一種注入型攻擊，攻擊者將惡意腳本注入到受信任的網站中。當用戶訪問受感染頁面時，惡意腳本在用戶的瀏覽器中執行，可能竊取會話令牌或重定向到惡意網站。分為三種類型：反射型（通過URL參數立即反射）、存儲型（惡意代碼存儲在服務器）和DOM型（客戶端處理不安全數據）。防範措施：輸入驗證、輸出編碼、使用內容安全策略（CSP）。
3
Insecure Deserialization（不安全的反序列化）
指應用程式在將序列化數據轉換回對象時，沒有進行足夠的安全檢查。當接受序列化對象而沒有驗證時，攻擊者可以修改或創建惡意序列化對象，導致遠程代碼執行或權限提升。這種漏洞可能導致完整的系統接管。常見的反序列化格式包括JSON、XML、YAML和二進制格式。防範措施：實施完整性檢查、類型約束、反序列化前驗證、監控反序列化異常。
Injection Flaws（注入漏洞）
攻擊者能夠將惡意代碼注入到應用程式的解釋器中執行。常見類型包括SQL注入、命令注入、LDAP注入和NoSQL注入等。這些漏洞發生在應用程式將不受信任的數據直接包含在命令或查詢中，而沒有適當驗證。成功的注入攻擊可能導致數據洩露、權限提升或系統接管。防範措施：使用參數化查詢、存儲過程、ORM框架、輸入驗證、最小權限原則。
Broken Authentication（身份認證缺陷）
指與用戶身份驗證和會話管理相關的問題，使攻擊者能夠假冒其他用戶身份。常見缺陷包括：允許弱密碼、易受暴力破解、不安全的密碼恢復機制、未加密憑證存儲、不安全的會話ID管理等。這些漏洞可能導致個人信息洩露或財務損失。防範措施：實施多因素認證、強密碼策略、安全的密碼恢復流程、適當的會話超時、HTTPS保護所有認證頁面、防止暴力破解的機制。
警察機關為犯罪偵查之目的，可能會利用許多個人資料。(一)請列舉至少五個犯罪偵查時個人資料的來源。（5分）(二)我國相關法令對個人資料之蒐集有何規範？（10分）(三)請列舉至少三種利用個人資料於犯罪偵查之應用，並作說明。（10分）
警察機關在犯罪偵查過程中需要蒐集和分析個人資料，這些資料受到法律規範，並可用於多種偵查應用。
1
犯罪偵查時個人資料的來源
政府資料庫：戶政資料、入出境記錄、車籍資料、前科紀錄等
通訊業者資料：通聯記錄、基地台位置資料、用戶資料
金融機構資料：銀行交易、信用卡消費、電子支付紀錄
網路服務資料：IP位址記錄、網站訪問日誌、電子郵件
社群媒體資料：個人資料、發文內容、位置標記
我國相關法令對個人資料之蒐集規範
個人資料保護法：要求公務機關蒐集個人資料應有特定目的，符合執行法定職務必要範圍
刑事訴訟法：規定搜索、扣押等強制處分需經法院核發搜索票
通訊保障及監察法：監察通訊內容需經法院核發通訊監察書
警察職權行使法：規定警察蒐集資料的職權範圍和限制
憲法保障與比例原則：尊重隱私權和秘密通訊自由，符合必要性和適當性
犯罪者畫像與行為分析
整合嫌疑人的社交媒體活動、通訊記錄、消費習慣和行動軌跡，建立行為模式和心理畫像。此分析有助了解嫌疑人動機和習慣，縮小搜查範圍，並預測可能的犯罪地點或時間。
社交網絡分析與犯罪組織調查
利用通聯記錄、社交媒體關係和金融交易，構建嫌疑人的社交網絡圖譜，識別共犯關係和組織結構。此方法對調查有組織犯罪、詐騙集團尤為有效，可揭示看似無關個體間的隱藏連接。
數位足跡追蹤與時間線重建
整合手機位置數據、監視錄像和電子支付記錄等數位足跡，重建嫌疑人完整活動時間線。此重建可確認或排除不在場證明，發現證詞矛盾，精確追蹤嫌疑人移動路徑，確認其是否出現在犯罪現場。
請試述下列名詞之意涵：（每小題 5分，共 25分）(一)Legal Hold(二)Ransomware Worm(三)APT（Advanced Persistent Threat）(四)Cybercrime(五)Distributed Denial of Service Attack
1
Legal Hold（法律保全）
Legal Hold是組織在面臨或預期訴訟時，必須實施的法律程序，要求保存所有可能相關的資訊和記錄，防止潛在證據被刪除或修改。這包括電子郵件、文件、數據庫記錄等各種形式的資訊。通常由法務部門發起，通知相關人員停止正常的資料刪除流程，並保存指定範圍內的所有資料，直到法律程序結束或Legal Hold被解除。在數位鑑識調查中，這是確保電子證據完整性的關鍵程序。
Ransomware Worm（勒索蠕蟲）
Ransomware Worm結合了勒索軟體和蠕蟲的特性，不僅能加密受害系統檔案並要求贖金，還能自我複製並在網路中自動尋找漏洞傳播。著名案例如WannaCry和NotPetya，它們利用Windows漏洞在全球範圍內快速傳播，造成巨大損失。勒索蠕蟲的自動傳播能力使其特別危險，能在短時間內影響大量系統，對組織和關鍵基礎設施構成嚴重威脅。
3
APT（Advanced Persistent Threat，進階持續性威脅）
APT是由具有豐富資源和高技術能力組織發起的複雜、長期網路攻擊。特徵包括：進階性（使用複雜技術和零日漏洞）、持續性（長期潛伏，可持續數月至數年）和針對性（精心策劃針對特定目標）。攻擊階段包含初始入侵、建立立足點、權限提升、橫向移動和數據外洩，同時盡力保持隱蔽。目標通常是政府機構、國防工業和關鍵基礎設施，目的可能是情報收集、技術竊取或戰略破壞。
Cybercrime（網路犯罪）
Cybercrime是利用電腦、網路或數位技術作為犯罪工具、目標或場所的行為。分為技術導向犯罪（黑客入侵、惡意軟體傳播、DDoS攻擊）和內容導向犯罪（網路詐欺、身份盜用、網路霸凌）。特點包括跨國性（犯罪者和受害者可能位於不同國家）、匿名性（犯罪者可隱藏身份）、規模性（可同時影響大量受害者）和技術複雜性。隨著數位化程度提高，網路犯罪已成為全球性問題，需要國際合作和專業執法能力應對。
Distributed Denial of Service Attack（分散式阻斷服務攻擊）
DDoS是攻擊者控制多台受感染電腦（殭屍網路）同時向目標系統發送大量請求，耗盡目標系統資源，導致服務中斷的攻擊方法。與單一來源DoS攻擊相比，DDoS來源分散，規模更大，更難防禦和追蹤。主要類型包括：容量型攻擊（UDP洪水）、協議攻擊（SYN洪水）和應用層攻擊（HTTP洪水），以及放大攻擊和反射攻擊。動機可能包括政治因素、勒索、競爭破壞或純粹破壞行為，造成服務中斷、聲譽和經濟損失。
請試述下列名詞之意涵：（每小題 5分，共 25分）(一)深層網路（Deep Web）(二)網路窺探（Network Sniffing）(三)封包（Packet）(四)虛擬私有網路（Virtual Private Network, VPN）(五)勒索軟體（Ransomware）
1
深層網路（Deep Web）
深層網路是指無法通過標準搜索引擎索引和訪問的網路內容部分，與表層網路（Surface Web）相對。包含需要登錄才能訪問的內容（如電子郵件、網上銀行）、動態生成的網頁、私人網絡、學術資料庫、企業內部網等。深層網路估計佔整個網路內容的90%以上。深層網路不同於暗網（Dark Web），後者需要特殊軟體（如Tor）才能訪問，常與非法活動相關。在犯罪偵查中，深層網路中的資料可能成為重要證據，但需要特殊技術和法律授權才能獲取。
2
網路窺探（Network Sniffing）
網路窺探是使用特定軟體或硬體工具捕獲和分析通過網路的數據封包的過程。嗅探器可以攔截網路傳輸的數據，解析其內容，包括用戶名、密碼、電子郵件內容等敏感信息。合法用途包括網路故障排除、性能監控和安全審計；惡意目的則包括竊取敏感信息和監視用戶活動。常見工具有Wireshark和tcpdump。執法機關可在獲得適當授權後使用此技術收集證據；同時也需調查犯罪者使用網路窺探進行的非法活動。
3
封包（Packet）
封包是網路通信的基本單位，為格式化的數據塊。數據傳輸時被分割成多個封包，每個封包含標頭（header）和有效載荷（payload）。標頭包含路由和識別信息，如源IP地址、目標IP地址、協議類型等；有效載荷則包含實際傳輸的數據。封包使用特定網路協議（如TCP/IP、UDP）進行格式化和傳輸。在網路上，封包獨立路由，可能經不同路徑到達目的地，再重新組裝成完整數據。在數位鑑識和網路犯罪調查中，封包分析可重建網路活動、識別攻擊模式和收集證據。
4
虛擬私有網路（Virtual Private Network, VPN）
虛擬私有網路是通過公共網路建立安全連接的技術，在不安全網路上創建安全的「虛擬通道」。VPN主要功能：數據加密（防止竊聽）、身份隱藏（掩蔽真實IP和位置）和安全訪問（允許遠程連接到私有網絡）。常用於企業遠程辦公、規避地理限制、保護公共Wi-Fi連接和增強隱私。在犯罪偵查中，VPN既是調查挑戰（犯罪者可用於隱藏身份），也是調查工具（執法人員可用於保護敏感調查）。不同VPN服務的日誌政策和司法合作意願差異很大，影響執法機關獲取證據的能力。
5
勒索軟體（Ransomware）
勒索軟體是一種惡意軟體，通過加密受害者文件或鎖定系統，要求支付贖金（通常是加密貨幣）以獲取解密密鑰或恢復訪問權限。傳播途徑包括釣魚電子郵件、惡意附件、受感染網站或漏洞利用。現代勒索軟體使用強大加密算法，使受害者難以在沒有密鑰情況下恢復文件。高級勒索軟體會刪除系統備份、擴散到網絡中其他系統，甚至威脅公開竊取的敏感數據（雙重勒索）。它已成為嚴重網絡安全威脅，影響個人、企業和關鍵基礎設施。勒索軟體案件偵查涉及數位鑑識、加密貨幣追蹤和國際合作等複雜挑戰。
Cookie 是協助使用者瀏覽網頁的一個工具，請回答下列問題：(一)何謂 HTTP Cookie？它的功用為何？Cookies 對資訊安全有何影響？（12分）(二)請問偵查人員可以如何利用 Cookies 來協助犯罪之偵查？（13分）
1
HTTP Cookie定義
HTTP Cookie是網站伺服器發送到用戶瀏覽器並儲存在本地的小型數據文件，包含名稱、值、過期時間、路徑和域名等屬性。當用戶再次訪問同一網站時，瀏覽器會將相關Cookie發送回伺服器。
2
Cookie的主要功用
維持用戶登入狀態與購物車內容；記住用戶偏好設置與語言選項；分析用戶行為與瀏覽習慣；投放個性化廣告；自動填充曾經輸入過的表單信息。
3
Cookie對資訊安全的影響
可能導致隱私洩露；容易遭受XSS攻擊而被竊取身份驗證信息；可能被用於CSRF攻擊執行未授權操作；未加密Cookie可能被網絡嗅探劫持；第三方Cookie可跨網站追蹤用戶；某些超級Cookie難以刪除，可能繞過隱私設置。
4
偵查人員利用Cookies協助犯罪偵查的方法
用戶身份識別與關聯：分析Cookie識別使用過的網站和服務，關聯多個設備或網絡身份；活動時間線重建：利用Cookie時間戳重建嫌疑人的網絡活動；瀏覽習慣分析：了解嫌疑人興趣和行為模式；恢復登錄憑證與表單數據；獲取地理位置信息；社交網絡和關係映射；通過法律程序獲取服務器端更詳細的用戶活動數據。
回答以下有關電腦之問題：（每小題 5分，共 25分）(一)作業系統之功能為何？(二)音效卡之功能為何？(三)何謂韌體（Firmware）？(四)何謂媒體存取控制（Media Access Control）位址？(五)ROM（Read Only Memory）與RAM（Random Access Memory）主要之差異為何？
1
(一)作業系統之功能為何？
作業系統是管理電腦硬體與軟體資源的核心程式，主要功能包括：
資源管理：協調和分配CPU、記憶體、儲存設備等系統資源
檔案管理：提供檔案操作的介面和管理機制
程序管理：控制程序執行、排程和終止
記憶體管理：分配記憶體空間，提供虛擬記憶體功能
使用者介面：提供圖形化或命令列介面
安全管理：控制系統和資料的存取權限
設備驅動：管理硬體設備，提供標準化介面
網路通訊：提供網路連接和通訊協定支援
2
(二)音效卡之功能為何？
音效卡負責處理電腦音訊輸入和輸出的硬體，主要功能：
數位類比轉換：將數位音訊轉換為類比信號輸出
類比數位轉換：將麥克風輸入轉換為數位信號
音訊處理：提供混音、音效處理、音量控制
MIDI支援：處理MIDI信號，支援電子樂器連接
多聲道音訊：支援立體聲、5.1聲道等輸出
硬體加速：減輕CPU負擔，專門處理音訊運算
音訊編解碼：支援各種音訊格式處理
3
(三)何謂韌體（Firmware）？
韌體是嵌入硬體設備中的特殊軟體，位於軟體和硬體之間：
永久性：存儲在ROM或快閃記憶體中，斷電不消失
低階控制：直接控制硬體運作，提供基本功能
專用性：為特定硬體設計，不能跨設備使用
更新特殊：需要特定程序更新，不像一般軟體
功能性：提供設備基本功能，如BIOS控制開機
安全性：韌體安全對整個系統至關重要
4
(四)何謂媒體存取控制（Media Access Control）位址？
MAC位址是網路設備的硬體識別碼，特性包括：
唯一性：每個網路介面卡有全球唯一MAC位址
硬體綁定：由製造商寫入硬體，通常不可更改
格式：由48位元（6位元組）組成，如00:1A:2B:3C:4D:5E
結構：前24位元是OUI（由IEEE分配），後24位元由製造商分配
功能：在區域網路中識別設備，數據鏈路層通訊基礎
應用：用於乙太網路、Wi-Fi、藍牙等網路技術
5
(五)ROM與RAM主要之差異為何？
ROM和RAM是兩種不同類型的記憶體，主要差異：
資料持久性：ROM斷電後資料保持；RAM斷電後資料消失
讀寫特性：ROM主要用於讀取；RAM可自由讀寫
用途：ROM存儲開機程序、韌體；RAM用於運行中程序
速度：一般而言，RAM讀寫速度快於ROM
容量：現代電腦中，RAM容量通常大於ROM
成本：單位容量而言，ROM通常比RAM便宜
對於網路販賣盜版光碟（含色情光碟）之犯罪：(一)其犯罪模式為何？（10分）(二)犯罪用的主要硬體設備有那些？（5分）(三)犯嫌躲避追緝常用之技巧為何？（5分）(四)所觸犯之刑法罪名與相關法律或條例為何？（5分）
1
犯罪模式
網路販賣盜版光碟的犯罪流程：
內容取得：從網路下載、錄製或購買原版內容，獲取待複製的影音資料。
大量複製：使用多台光碟燒錄設備進行批量複製。
包裝與儲存：製作包裝和標籤，將成品存放在隱蔽地點。
網路宣傳：在社群媒體、論壇、拍賣網站等發布銷售訊息。
訂單處理：通過私訊、電子郵件或通訊軟體接收訂單。
配送方式：使用匿名配送，如無真實寄件人資訊的包裹或便利商店店到店服務。
2
犯罪用的主要硬體設備
電腦設備：用於下載、編輯和處理影音內容
光碟燒錄機：單機或多機並用的光碟複製設備
空白光碟片：大量的DVD-R或CD-R
印表機：用於列印光碟標籤和包裝
外接硬碟：儲存大量原始影音檔案
網路設備：用於下載內容和進行銷售活動
3
犯嫌躲避追緝常用之技巧
使用假名或人頭帳號進行網路銷售
經常更換IP位址或使用VPN隱藏位置
使用預付卡門號或一次性電話號碼
分散生產和儲存地點，避免一網打盡
使用第三方支付或虛擬貨幣收款
利用隱晦詞語描述商品，避免直接觸法
4
所觸犯之刑法罪名與相關法律
著作權法：未經授權重製、散布著作
刑法第235條：散布、播送或販賣猥褻物品罪
兒童及少年性剝削防制條例：若涉及兒少色情內容
商標法：若盜版品冒用他人商標
稅法相關規定：未申報銷售所得逃漏稅
解釋名詞：（每小題 5分，共25分）(一)False-Positive Hits(二)Electronic Discovery(三)Circumstantial Evidence(四)Modus Operandi(五)Admissible Evidence
1
False-Positive Hits（假陽性命中）
指在數位鑑識或資安分析中，系統或工具錯誤地將正常、無害的項目識別為可疑或惡意的情況。例如，關鍵字搜索返回無關文件、防毒軟體誤判正常程式、或入侵檢測系統誤報正常活動。假陽性會增加分析工作量，浪費資源，並可能導致錯誤的調查方向。減少假陽性同時保持高檢測率是關鍵，通常需結合自動化工具和人工專業判斷。
2
Electronic Discovery（電子證據開示）
指在法律程序中識別、收集、處理、分析和提供電子儲存資訊的過程，包括電子郵件、文件、數據庫、社交媒體內容等。電子證據開示遵循特定流程：保全通知、識別相關資料、收集保存、處理過濾、審查分析、生成呈現。與傳統紙質文件相比，電子證據開示面臨數據量大、格式多樣、存在元數據等挑戰，需要法律和技術專家合作。
3
Circumstantial Evidence（間接證據）
指不直接證明案件主要事實，但通過推理可支持某一結論的證據。與直接證據不同，間接證據需進行合理推斷才能連接到案件事實。在數位鑑識中，間接證據可能包括登入記錄、文件元數據、網絡活動記錄、刪除文件痕跡等。單個間接證據可能不足以確立事實，但多個間接證據結合可形成強有力的證據鏈，其說服力取決於推理合理性和支持證據。
4
Modus Operandi（作案手法）
指犯罪者實施犯罪的特定方式或模式，反映其習慣、技能和偏好。分析作案手法有助於連結多起犯罪、預測行為和縮小嫌疑範圍。在電腦犯罪中，作案手法可能包括特定入侵技術、惡意軟體類型、攻擊時間模式、目標選擇和數據竊取方法等。作案手法可能隨經驗增長而演變，但通常保留一致特徵，這些特徵可作為「犯罪簽名」幫助識別同一犯罪者的多起案件。
5
Admissible Evidence（可採納證據）
指符合法律規定，可在法庭上呈現並被考慮的證據。證據能否被採納取決於相關性、可靠性、真實性和合法性。在數位鑑識中，確保證據可採納需遵循嚴格程序：使用經驗證的取證工具、維護完整的證據保管鏈、記錄所有處理步驟、確保原始證據完整性。不符合法律要求的證據可能被排除，即使其內容對案件至關重要，因此必須確保從收集到呈現的每個環節都符合法律標準。
警察執法人員在偵辦電腦相關犯罪案件時，常會遭遇到不可讀電磁紀錄（Non-Readable Electromagnetic Recording）取證問題，請回答下列各問題：(一)依中華民國刑法（修正日期：民國102年01月23日）第10條第6項定義「電磁紀錄」（Electromagnetic Recording）。（3分）(二)指出電腦編碼或內碼系統內含有那3種字元（Character）型態？（6分）(三)舉出任何3種型態的電磁紀錄是不可讀的？請說明不可讀的原因。（6分）(四)舉出1種處理方式，可以解決不可讀的電磁紀錄，使能「表示其犯罪用意」之證據？（4分）(五)在EnCase Forensic V6.或V7.版本軟體操作環境下，針對「不可讀的電磁紀錄」分析1種型態的電磁紀錄內容是否含有「表示其犯罪用意」。寫出操作步驟，且加以說明每一步驟的處理目的。（6分）
1
電磁紀錄的法律定義
依中華民國刑法第10條第6項定義：「電磁紀錄」是指以電子、磁性或其他無法以人之知覺直接認識之方式所製成之紀錄，而供電腦處理之用者。
2
電腦編碼或內碼系統的字元型態
可顯示字元：字母、數字、標點符號等可直接顯示和列印的字元
控制字元：用於控制資料傳輸、格式化文本等非顯示用途的字元
擴展字元：基本ASCII碼之外的字元，包括各國語言特殊字元和符號
3
不可讀電磁紀錄的類型及原因
加密檔案：使用加密演算法處理，無正確解密金鑰無法讀取
二進制執行檔：包含機器碼而非人類可讀文本，為電腦處理器直接執行設計
損壞或不完整的檔案：因物理損壞或刪除操作導致檔案結構受損
專有格式檔案：使用非標準格式儲存，需特定應用程式才能解析
隱寫術處理的檔案：使用隱寫技術將資料隱藏在其他檔案中
4
解決不可讀電磁紀錄的處理方式
十六進制編輯器分析：使用十六進制編輯器查看檔案原始二進制內容，分析檔案頭、特徵字串和資料模式，識別檔案類型、發現隱藏資訊或提取可讀內容。可用於識別加密方法線索、恢復損壞檔案部分內容，或從二進制檔案中找出有意義的字串常量。
5
EnCase Forensic分析不可讀電磁紀錄的操作步驟
建立案件和證據檔案：創建新案件，添加待分析的磁碟映像，確保原始證據不被修改
檔案簽名分析：檢查檔案類型是否與擴展名匹配，識別可能被故意更改擴展名的檔案
關鍵字搜索：尋找與加密相關的字串，確定檔案的加密類型
熵分析：評估檔案的隨機性，高熵值通常表示檔案被加密
檢查相關檔案：搜索可能存在的密碼提示或金鑰檔案
記憶體分析：分析記憶體中可能存在的解密金鑰
報告生成：記錄所有發現和分析結果，支持後續調查和法律程序
為評估系統遭受攻擊所受到的影響，多採用CIAtriad（資安鐵三角）方式評估受攻擊所遭受的衝擊程度。請說明何謂CIA？若網站伺服器遭受SQL注入（SQL injection）攻擊，試以CIA說明其遭受到的影響，並說明SQL注入攻擊之原理，以及如何防範此類之攻擊。
CIA資安鐵三角是資訊安全的三個核心原則，用於評估系統遭受攻擊的衝擊程度。以下是SQL注入攻擊的分析與防範方法：
1
機密性（Confidentiality）
確保資訊只能被授權的人員存取。SQL注入可能使攻擊者執行查詢語句獲取敏感資訊，如用戶憑證、個人資料和財務資訊等。
2
完整性（Integrity）
確保資訊的準確性和可靠性。攻擊者可通過SQL注入執行UPDATE或DELETE語句修改或刪除資料庫記錄，插入虛假資訊，或修改用戶權限。
3
可用性（Availability）
確保資訊和系統在需要時可被存取和使用。SQL注入可能導致系統無法正常運行，例如執行資源密集型查詢導致資料庫過載，或刪除整個資料表。
4
SQL注入攻擊原理
SQL注入是一種程式碼注入技術，攻擊者在輸入欄位中插入惡意SQL語句，利用應用程式對輸入資料的不當處理，執行未經授權的資料庫操作。攻擊者提供特殊構造的輸入，包含SQL語法元素，改變原始SQL查詢的結構和邏輯。
5
SQL注入攻擊防範方法
參數化查詢：使用預處理語句，將SQL語句結構與資料分離。
輸入驗證：檢查所有用戶輸入的格式、長度和類型。
最小權限原則：為應用程式使用的資料庫帳戶分配最小必要權限。
使用ORM框架：採用內建防SQL注入機制的框架。
Web應用防火牆：部署可檢測和阻止SQL注入攻擊的防火牆。
許多組織與企業遭受勒索軟體攻擊，被要求支付大量贖金。請說明勒索軟體攻擊原理，並說明其加密檔案之原理與技術、和如何偵查與分析此類攻擊事件。
1
勒索軟體攻擊原理
勒索軟體是一種惡意程式，通過加密受害者的檔案或鎖定系統訪問，然後要求支付贖金以恢復正常使用。主要感染途徑包括釣魚郵件、系統漏洞、遠程桌面弱密碼、惡意廣告和供應鏈攻擊。攻擊流程包含初始感染、權限提升、橫向移動、資料竊取（雙重勒索）、檔案加密和勒索通知。
2
加密檔案原理與技術
勒索軟體使用混合加密技術：利用對稱加密（如AES）快速加密檔案內容，再用非對稱加密（如RSA）保護對稱密鑰。每個受害者會獲得唯一密鑰對，加密過程包括生成隨機對稱密鑰、加密目標檔案、用公鑰加密對稱密鑰，並刪除原始檔案。通常優先加密有價值的檔案，同時使用反取證技術刪除備份和日誌。
3
初始響應與證據收集
發現攻擊後應立即隔離受感染系統防止擴散，同時保全記憶體轉儲、系統日誌、網絡流量記錄等關鍵證據。避免關閉受感染系統，以保留記憶體中的關鍵資訊。收集勒索通知及加密檔案樣本供後續分析。
4
惡意程式與攻擊路徑分析
在隔離環境中進行靜態和動態分析，識別勒索軟體家族及特徵。通過系統日誌和網絡流量分析，重建攻擊時間線，確定初始感染途徑和橫向移動方式。檢查加密檔案結構，識別使用的加密算法，評估是否存在加密缺陷或可用解密工具。
5
網絡分析與歸因
分析網絡流量和連接日誌，識別命令與控制伺服器。追蹤與外部伺服器的通信，可能發現加密密鑰傳輸。收集攻擊指標與威脅情報數據庫比對，分析勒索通知和支付方式，可能識別責任方。
6
恢復評估與預防
評估可能的恢復選項，包括使用備份、解密工具或與攻擊者談判。準備詳細事件報告，包括攻擊方法、影響範圍和安全改進建議。加強預防措施：更新系統補丁、實施多因素認證、網絡分段、定期備份、安全意識培訓和端點保護。
警察機關執行資訊數位化行之有年，因此累積大量犯罪資料；另一方面，在電腦犯罪案件蒐證中也收集到大量的數位證據。警調單位為追查與蒐集電腦犯罪相關資訊，可能會利用公開情資OSINT（OpenSource Intelligence）協助偵查。請說明何謂公開情資，並舉2項公開情資應用案例，說明公開情資如何協助偵查電腦犯罪。
公開情資（OSINT）是從公開可獲取的來源收集和分析的情報資訊，無需特殊許可即可取得。以下是OSINT的定義及應用案例：
1
公開情資（OSINT）的定義
公開情資來源包括：網際網路資源（社交媒體、網站、論壇）、傳統媒體、公共記錄、學術出版物、商業資料、地理空間資訊及技術資料等。OSINT的價值在於其合法性、廣泛性和及時性，能在不驚動調查對象的情況下獲取有價值的資訊。
2
網路攻擊歸因案例
當政府機構遭受網路攻擊時，調查人員可通過以下OSINT方法識別攻擊來源：分析惡意程式碼並在威脅情報資料庫查找類似樣本、在駭客論壇搜索相關討論、追蹤攻擊基礎設施的域名註冊資訊、比對攻擊手法與已知威脅組織的戰術。這些技術協助調查人員將攻擊歸因於特定威脅組織，了解其動機和預測未來攻擊目標。
3
網路詐欺調查案例
在網路詐欺案件中，警方利用OSINT追蹤犯罪者的真實身份，方法包括：使用WHOIS查詢和網站歷史存檔分析詐騙網站、通過反向圖像搜索追蹤盜用的身份、分析社交媒體帳號關聯性、利用電子郵件頭部資訊確定來源、追蹤加密貨幣交易記錄。這些方法協助建立詐騙者的活動模式和身份線索，縮小搜查範圍，最終協助逮捕行動。
惡意軟體分析乃偵查電腦犯罪案件之重要步驟之一，請說明惡意軟體之類型與傳播方式，並舉例說明之。
惡意軟體可分為多種類型，且有各種傳播途徑。以下時間軸呈現主要類型與傳播方式：
1
主要惡意軟體類型
病毒（Virus）：依附於其他程式的惡意程式，會自我複製感染其他檔案。例：Melissa病毒透過Word文件傳播。
蠕蟲（Worm）：自主傳播的惡意程式，利用網路漏洞擴散。例：WannaCry利用Windows SMB漏洞傳播。
特洛伊木馬（Trojan）：偽裝成正常程式的惡意軟體。例：Zeus特洛伊木馬竊取銀行憑證。
勒索軟體（Ransomware）：加密檔案並要求贖金。例：Ryuk針對大型企業加密檔案勒索。
間諜軟體（Spyware）：監控用戶活動收集資訊。例：Pegasus監控通訊和位置資訊。
2
次要惡意軟體類型
廣告軟體（Adware）：顯示不請自來廣告，收集瀏覽習慣。
後門程式（Backdoor）：提供遠程訪問系統的隱蔽通道。例：Gh0st RAT允許攻擊者控制系統。
殭屍網路（Botnet）：被控制電腦組成的網絡。例：Mirai感染物聯網設備發動DDoS攻擊。
加密挖礦軟體（Cryptominer）：未授權使用資源挖掘加密貨幣。
3
主要傳播方式
釣魚電子郵件：含惡意附件或連結的欺騙性郵件。例：偽裝成銀行發送含病毒郵件。
惡意網站：經由受感染或專門設計的網站傳播。例：驅動式下載攻擊。
軟體漏洞利用：利用安全漏洞執行惡意代碼。例：EternalBlue漏洞被WannaCry利用。
可移動媒體：通過USB等物理媒體傳播。例：Stuxnet通過USB隨身碟入侵。
4
其他傳播方式
社交工程：心理操縱誘導用戶執行惡意行為。例：偽裝技術支持誘導安裝遠程軟體。
社交媒體：通過社交平台傳播惡意連結。例：Facebook Messenger傳播惡意腳本。
供應鏈攻擊：通過軟體更新機制傳播。例：SolarWinds攻擊植入後門。