申論題

(一)以下就存在於用戶端、伺服器端及網路設備的數位證據說明：
1.用戶端：用戶端是終端使用者使用之裝置，如智慧型手機、平板電腦、筆記型電腦或桌上型電腦等，而
數位證據位於其中的儲存媒體（硬碟、記憶卡）或記憶體中。舉例而言，儲存在儲存媒體中的資料如瀏
覽器的瀏覽紀錄、儲存的Cookie、通訊軟體的對話紀錄、圖片、照片或Word文件、Excel報表等；另外儲
存在記憶體中的裝置執行狀態，如登入的使用者、執行中程式的資料。在用戶端的資料量最多、容易取
得且相關性最高，但常可能受到使用者修改或清除，因此在資料的復原上挑戰最大。

2.伺服器端：伺服器為提供服務的電腦主機，讓使用者透過網路連線取得資源。數位證據儲存在伺服器的
記錄檔（Log），根據提供的服務不同，可能留下的數位證據也不同。以網頁伺服器而言，會儲存使用者
的點擊串流（clickstream）、瀏覽時間、IP位址、留言內容，若該伺服器為電子商務網站，也會保留使用
者的個人基本資料、交易紀錄、瀏覽商品紀錄等。在伺服器的蒐證上，若伺服器由第三方架設，通常可
以提供品質高的詳細紀錄，適合做為證據；但若為蒐證對象架設，則難度與用戶端相同。

3.網路設備：如路由器、交換器、防火牆等設備，通常記錄使用者的封包資訊，掌握使用者封包方向、內
容。網路設備與前兩者的不同是將大部分的資料儲存在記憶體中，在斷電後即會失去，因此在數位鑑識
時必須使用特殊儀器保留設備中的狀態資料。而在資料正確性上，由於這些設備並非終端節點，因此難
以變造，真實性高且包含最多原始資料，若能有效利用整理，可以是最即時最詳細的資料來源。但由於
網路設備的限制，若蒐集時間過短，可能難以掌握資料內容，且在資料關聯性上難以辨認，若使用者透
過加密傳輸（如SSL），則擷取還原的機率極低。