用IT查案的波麗士大人

看過警察故事、終極警探等警匪電影，或是CSI等影集，引人入勝的是看拳腳功夫了得的警探，如何抽絲剝繭，循線緝拿歹徒的驚險過程，不由得對那些富正義感、認真值勤的警察們感到欽佩。而在現今網路興盛之時，犯罪的偵察也和IT技術愈來愈分不開，加上資訊化的不法行為層出不窮，於是也需要IT功力高強、能維護眾人資訊安全的執法警察，而叢培侃就是警政署資訊室裡赫赫有名的高手。

朝研究破解的興趣方向，去發展自己的IT技能
叢培侃起先就讀於中壢高商，之後保送進入東華大學經濟系，由於他大學之前就已經學習過經濟和會計，也考了很多相關證照，因此他有較多的課外時間，再去學習也有興趣的電腦資訊。

在當時他對逆向工程很有興趣，因此在網路上結識許多破解、脫殼（去除保護程序）等同好，例如：Birdman、Heibow、Kuon等，而PK是他在網路上所使用的ID，不過他笑說並不是他愛跟人PK，只是單純把他名字培侃取個諧音，所以叫PK。

由於他愈來愈熱衷於資訊這方面，並想在一個合法的環境下研究這些網路技術，所以選擇就讀警察大學資訊研究所，學習電腦鑑識方面的專長。

叢培侃身為警察後，在近年許多案件上累積了豐富的經驗與成果，因此圈內人稱他為「臺灣鑑識一哥」。即便如此，在這個單位裡面，他並沒有想作多大的官、賺多大的錢，只要能作他自己有興趣的東西，能夠充分發揮專長就夠了。曾經有防毒廠商要挖角他，薪水條件當然也更優渥，但他覺得目前在這個職位上，可以為資安環境帶來更大的效益。能堅持這個理想很難能可貴。

叢培侃認為，在目前環境中，假如在充分的支援下，能有效協助提升政府方面的IT技術，與宣導電腦使用的概念，對社會的效益可以更大。在今年農曆年前，警政署發布了一個免費的電腦健康檢查程式NPASCAN（NPA為警政署的縮寫），就是叢培侃所研發設計。

以自身經驗，設計惡意程式偵測軟體免費供人使用
叢培侃當初也是因為在工作上，會需要鑑識電腦設備是否感染病毒，開始想設計一個偵測惡意程式的軟體NPASCAN，使辦案人員可以迅速地檢測扣押的設備。這個軟體的定位上，並非要取代防毒軟體，畢竟他不可能像防毒軟體廠商不斷更新病毒碼特徵，於是他利用自身對於電腦鑑識方面的實際經驗，開始分析上千隻病毒樣本的行為，設法完全拆解惡意程式的每個行為步驟、觀察它們的邏輯，並有效做出詢問、刪除的動作，以抑止惡意程式的擴散。換句話說，這個程式是一個以惡意程式的行為模式來偵測惡意程式的軟體。

程式碼撰寫不難，價值在於程式的邏輯，不過這種方式的缺點是容易誤判。由於叢培侃想要做到盡善盡美，為了能對這個軟體負責，因此他在內部測試時不斷改善它的精準度，並提高偵測率，而且在發布後數日他又迅速進行幾次改版，修正先前發生的誤判問題。目前這個軟體已更新至1.7版，叢培侃認為，目前使用上很穩定，他暫時不需要再改版。

從2009年1月21日開始供人下載，至今短短一個月內，NPASCAN這個程式已被下載了超過150萬次，叢培侃表示，在國外從未有政府機關會提供這樣的軟體，而且它不需要特別的權限執行，而且由於NPASCAN可以使用於Windows 2000以後的作業系統，為的就是普及、大眾化，他希望能夠用簡單的方式，即可多一層保障，並藉此讓一般人重視資料外洩的嚴重性。

軟體發布後，在網路上也有引起一些回響，例如在大砲開講部落格中，有網友質疑免費的軟體效果不大，也有網友冷嘲熱諷，批評該軟體雖由官方發布，但後果由使用者自行負責，甚至也有人不認同新聞稿把這套軟體形容得太神。

叢培侃表示，他希望使用者應該了解程式偵測的方式，以及能夠帶來的幫助，而非在不知情的情況下去批評，也希望外界不用過份渲染，尤其他最近發現已有釣魚類型的電子郵件，發送假的NPASCAN下載點。

學習技術與辦案，要有追根究底的精神
叢培侃在電腦技術上的造詣，主要都在大學時期所奠定的基礎，但都是靠自學。他從高中時開始對電腦有興趣，當時也接觸到許多的共享軟體，在安裝那些軟體時，常會遇到缺少註冊碼、序號而無法長期使用。一般人大多想著如果在網路上獲得這些資訊，但叢培侃的想法不同，他會思考這個序號是怎麼產生的？製作的邏輯是什麼？當時他就有逆向工程的思維，而且開始建立打破沙鍋問到底的精神。

在網路上闖盪了近10年，叢培侃表示，電腦技術要好，單靠會使用工具程式是行不通的，例如有些資安專家只是鑑識工具的使用者，一旦工具無法奏效，他們也就沒輒。而真正的數位鑑識力，他認為要能在沒有工具的情況下，或是工具不足的情況下，也能夠自己設法進一步去追究原因。

除了對自己專業上的要求，IT相關的不法行為追蹤，同樣需要這樣的精神。因為網路像是一個虛擬形態的社會，相關的犯罪基本上都具有隱蔽性、智慧性等特徵，我們不容易直接知道對方是誰。

叢培侃在工作上也實際參與多國協同追緝網路犯罪，他對美國軍方追根究柢的精神印象很深刻。2008年10月中旬，發生臺灣某國立大學的研究計畫用電腦，持續對國外軍事基地發動攻擊，警政署資訊室，花了1周時間找出來龍去脈，發現原來是因為管理不慎，使該臺電腦成為羅馬尼亞駭客綁架的跳板主機，也將此次整個駭客攻擊路徑找出來，交給受到攻擊國家的相關負責人員，美國方面也繼續循線追尋，最後終於破獲了跨國駭客集團，可見他們實際一步一步地往下追到根源，這點是叢培侃認為很值得學習的。

單靠一個人，力量有限，正義的伸張要靠眾人
叢培侃雖然身處於公家機關政府單位，不過每天幾乎都無法準時下班，甚至常常也忘了吃飯。雖然警察負有保護人民生命財產安全的職責，而且幾乎是24小時都要承擔的。不過叢培侃覺得這份工作就是他的興趣，尤其在逆向工程裡，揭露謎底的過程很過癮的一件事，因此把工作、興趣、責任相結合，可說是一舉數得。

對工作內容時時充滿興趣，也是他想傳達給同事們的，例如一旦發現新的惡意程式或病毒時，他就交給同事，看誰先分析出來，就可以提早下班或是獲得一些福利。叢培侃用有趣的事促進在工作上的成就感，使這個團隊更有活力，工作效率與專業能力也會有作提升。

叢培侃去過各縣市警察局講授偵察技巧，有很多機關、單位會請他去觀念宣導，畢竟很多基層人員不懂這方面的資訊，甚至法官因為案件需要，也要上課學習這方面的知識。我們在許多資安會場，也可以看到他講授電腦鑑識相關的問題，例如：去年擔任SySCAN前瞻資安年會與HITCon講師。但叢培侃仍然覺得不足，因為人員的教育是最大的問題。

在現在的環境下，他期望能夠整合所認識的各種人才組織起來，一起為臺灣的資安環境做出更多的貢獻。因為正義感人人皆有，而他身處於執法單位，更應該做出有效的發揮。文⊙羅正漢

所屬單位檔案─行政院內政部警政署 ●網址：www.npa.gov.tw ●服務項目：主要任務為依法維持公共秩序，保護社會安全，防止一切危害；輔助任務為依法促進人民福利