難倒警察了：黑社會如何隱藏犯法檔案？

早在數星期前，筆者便曾經提及「時間」對於電子證物合法性的相關資訊，今次想為大家揭開現今罪犯最常用，但又並非甚麼新技術的隱藏檔案方法。

首先要了解「隱藏」二字在本文之中的實際意義，大家可以先想想不法份子所謂的「隱藏」，其最主要目的為何？其一：收藏犯法證據；其二破壞電子證物合法性。

由於早前我們已介紹過時間不對將令證物失去合法性，因此今次不多說了；反而想講講不法份子利用甚麼方法從而達到隱藏與破壞證物的修改時間。

**註：筆者並非罪犯，因此本文介紹只是筆者以理論角度推斷罪犯隱藏檔案時所考慮到的種種因素，並針對隱藏性以及一旦被進行取證時，檔案合併過程所導致的檔案時間破壞作考慮，因此內容或會有所遺留；如有錯漏，請指出，筆者樂於共同研究。

如何隱藏檔案？

可能你認為通過不同的軟件隱藏檔案，便可符合到罪犯的要求；的確一般的罪犯可能仍停留於採用第三方軟件進行檔案隱藏工作；但一般情況下，通過軟件進行檔案隱藏往往只是視覺上的特效；簡單來說，大部份隱藏檔案的軟件只是「誠實地」將檔案的圖示隱藏，實際上檔案仍然存在，只需通過法證工具便可輕鬆將這些隱藏的檔案取出，因此這方法國際犯罪集團根本不會使用。

編輯字元組方法
假如要符合上述提到的「隱藏」目的，筆者認為編輯電腦檔案的字元組或者是一種較易的檔案隱藏方法。舉個例子，筆者通過採用十六進制編輯器開啟不同的檔案，大家便可見到檔案的「真身」。

所謂的「真身」其實是一堆沒有意義的字符，事關電腦只明白數字，而大家眼見的（不論是文件檔案或甚至是遊戲），其華麗的介面背後都是由最原始的二進制、十六進制等方式形成，因此不同檔案背後最原始的當然就是一堆人類看不明的字元組。

而通過十六進制編輯器，罪犯便可將圖像化的檔案背後的字元組分拆，最終將證據分拆多件存放；此舉將令檔案重新合併時極為困難，同時檔案的修改時間亦較難被法庭接受；加上罪犯可通過將分拆的碎片分開儲存，例如儲存位於不同國家的電腦、磁片之中，從而增加搜證難度。

實際應用例子

首先筆者以十六進制編輯器檢視 Windows 系統之中的 .jpg 圖像，便會見到此畫面。

這裡的字元組有不同意思，例同某些位置所顯示的字符代表了檔案的類型等等；此時我們可以將這些位元組複製，並貼到其他正常的檔案之內。

以相同方法，假如筆者將 .jpg 的位元組分拆 50 組，並分別儲存到正常檔案之中，那取證工作便十分困難了；雖然取證工具仍然有機會檢視到檔案之中被植入原本不屬於該檔案的位元組，但假如罪犯利用此方法，再配合上將分拆的位元組傳送到多國的電腦系統之中呢？這樣的話，警察幾乎不能追查到所有碎片的位置，而且碎片如何合併成完整的檔案亦幾乎無法知曉。

上述提及的方法在隱藏檔案上有一定的效果，而且最重要的是能大大增加取證難度，儘管取證工作仍然可通過指定的工具將這些額外的位元組從中揪出，然而此舉將需要花上大量時間，加上罪犯如將分拆後的位元組存放於位於各國的電腦系統之中，要取證更是難上加難。

上述內容純為筆者推理，並非實際例子。如有遺留，歡迎指正。

鳴謝：Lapcom 協助