將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2017/5/17

較邏輯萃取法挖掘更深跡證 已刪除檔案亦無所遁形

國際公信力XRY鑑識工具 實體萃取手機內藏資料

中央警察大學資訊密碼暨建構實驗室(ICCL)
適度地利用鑑識工具對智慧型手機進行關鍵證據萃取,一旦發現使用者帳號密碼、Wi-Fi帳號密碼、網頁瀏覽的歷史紀錄、刪除檔案、通訊軟體的對話紀錄等重要資訊,將得以串起所有的片段而還原真相。
自從第一支智慧型手機問世後,已經改變人類的通訊習慣,依據國家發展委員會最新「104年數位機會調查」,我國上網人口中91.6%持有智慧型手機,其中最常使用的手機功能以「即時通訊」為最大宗,如圖1所示。


▲ 圖1 國家發展委員會「104年數位機會調查」。


隨著智慧型手機融入日常生活,利用智慧手機來犯罪的數量也不斷攀升,因此不能忽視利用智慧型手機從事非法行為的犯罪模式,智慧型手機將成為破案非常有利的證據,因為手機紀錄與使用者相關的重要訊息,而這些有用的訊息可能揭示犯罪嫌疑人與被害人間的關係,成為重要證據。

國內目前並沒有對於行動裝置鑑識(Mobile Device Forensics)制定相關的處理標準流程,但可以參考美國國家標準技術研究所(National Institute of Standards and Technology,NIST),針對行動裝置鑑識的處理準則給予規範,其內容提及必須使用可接受的方法及符合相關的調查程序來對智慧型手機進行取證,包括被刪除的檔案。而數位鑑識調查工作的目的在於對任何可能存有犯罪跡證的數位裝置進行擷取、收集、分析、保存、文件化證據到最後法庭上的證據呈現。

智慧型手機的作業系統有Google Android、Apple iOS、Microsoft Windows 10 Mobile、BlackBerry BlackBerry 10、Nokia Symbian、Mozilla Firefox OS等,在市場競爭淘汰機制下,目前智慧型手機系統以Android和iOS為主,其中Android系統的智慧型手機不同於iOS系列手機由Apple公司獨家研發設計,採開放式的原始碼讓硬體製造商、軟體開發商及電信營運商等一起共同研發改良,也使得市面上Android手機型號眾多,不同的硬體規格、系統版本、檔案系統等因素,讓Android行動裝置鑑識充滿了挑戰性。

現今有許多手機鑑識工具如Cellebrite UFED、MOBILedit Forensic、XRY、ForensicToolkit、Oxygen Forensic Suite和Paraben’s device seizure等,目前的文獻多使用UFED鑑識工具來進行智慧型手機的鑑識,但數位證據的鑑識結果常常因為所使用的工具軟體不同而導致有所差異。

本文以XRY鑑識工具作為分析工具,分別對手機進行證據萃取,一旦發現帳號密碼、瀏覽歷史紀錄、刪除檔案、通訊對話紀錄等重要資訊,真相已近在眼前了。

了解鑑識所需知識

XRY為一款專門作為手機鑑識的商業工具,支援市面上常見的Android、iOS、Windows Mobile、BlackBerry等系統,支援的手機型號更是高達上萬種,但因不同手機製造商對手機的客製化設計,使得XRY對各種不同型號的手機支援程度也有所不同,XRY提供兩種資料萃取的方式,分別為邏輯萃取(Logical Extract)與實體萃取(Physical Extract),表1為邏輯與實體萃取證據可檢視項目,以下就邏輯萃取(Logical Extract)與實體萃取(Physical Extract)兩種萃取方式分別說明。

邏輯萃取方式是針對檔案系統上可以存取的資料進行萃取,亦即將目前已配置的空間(Allocated Space)上的全部檔案萃取出來,以邏輯萃取方式可得到關於使用者的基本資料等,而這種萃取方式僅是從檔案系統中單純複製資料,並無法查看已刪除的檔案,但支援的設備多,可快速提供調查人員基本資訊掌握與使用者互動的社交圈。

在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料存放的空間重新劃分成可用空間,但原先儲存在記憶體中的資料還存在著。實體萃取方式則是以位元流Bit-by-bit的複製方式將手機或記憶卡等記憶儲存體上所有位置的資料全部萃取出來,利用這種方式可以對被刪掉檔案進行還原,然而在手機上要執行實體萃取,手機必須要先經過ROOT取得最高使用者權限才能執行。

表1 邏輯與實體萃取證據可檢視項目




表1為邏輯與實體萃取證據比較表,標示○者代表XRY可以檢視的欄位項目,邏輯萃取可以檢視的項目限於行動裝置型號版本、電話簿、通話紀錄、簡訊、行事曆、電子郵件、瀏覽歷史紀錄以及多媒體檔案等,而這些訊息來源亦可透過瀏覽手機或是檢視檔案系統來取得,所能檢視的項目仍是受制於手機製造商開放給一般使用者可以檢視的範圍。

相反地,取得最高使用者權限的ROOT手機,突破了手機製造商對手機存取的權限,在沒有阻礙限制的情況下,可以對手機進行實體萃取,提供更詳盡的資訊如使用者的帳戶密碼、安裝的應用程式資訊、通訊軟體的對話紀錄、電子郵件、Google Map定位資訊、網頁關鍵字搜尋、被刪除的圖片、影音、文件、檔案、資料庫檢視與復原等,可以徹底地檢視潛藏在手機裡的證據線索,大幅提升數位鑑識人員所能取得之數位證據數量與內容。

以下就使用者帳戶密碼、Wi-Fi帳號密碼、通訊軟體對話紀錄、電子郵件、多媒體檔案做介紹。

使用者帳號密碼

隨著網路提供越來越多的便利服務,像是軟體服務、網路購物、網路銀行等,每位使用者平均會有至少十個網路帳號,但因為難以記憶太多密碼,因此使用者傾向使用相同密碼登入不同的網路平台,而重複使用相同密碼的行為也帶來了被駭客攻擊的高度風險。但這同時也是鑑識人員的契機,只要取得犯罪嫌疑人其中某一組帳號密碼,就可以用相同密碼登入其他網站,從中獲取更多資料。

從上述可知帳戶密碼對於鑑識人員調查工作的重要性,因此XRY特別針對使用者在手機上登入的帳戶密碼進行萃取分析,如圖2所示,成功取得使用者的Google帳號密碼,對於通訊軟體Facebook、LINE等則僅能取得帳號,雖然沒有成功取得Facebook密碼,但可以大膽地推測使用者Facebook密碼可能與登入Google密碼相同,透過已知的帳號、密碼的資訊來拚湊出想要的資訊。


▲圖2 找出使用者的帳號密碼資訊。


Wi-Fi帳號密碼

在Wi-Fi存取點上,SSID(Service Set Identifier)技術可以將一個無線區域網分為幾個需要不同身分驗證的子網路,每一個子網路都需要獨立的身分驗證,只有通過身分驗證的用戶才可以進入相應的子網路,防止未被授權的用戶進入本網路。

如圖3所示,XRY提供檢視使用者登入Wi-Fi存取點的密碼,密碼以明碼方式呈現,從使用者使用的Wi-Fi存取點,除了可以了解使用者網路使用情形外,還有機會藉此取得使用者慣用的密碼組合。


▲圖3 檢視Wi-Fi存取點帳號密碼資訊。


通訊軟體對話紀錄

Facebook與LINE通訊軟體提供快速且方便的溝通方式,這些對話紀錄對鑑識人員非常重要,訊息中隱藏Who、What、When、Where、Why和How等非常有價值的證據。

Facebook訊息跡證儲存了對話的內容、發送的日期時間、發送人、接收人、群組成員、讀取狀態等,透過對話紀錄的推敲分析,可用於識別分類使用者的行為特徵,分析訊息內容與案情的關聯性。

LINE所儲存的訊息跡證與Facebook大致相同,除了基本的紀錄外,還可以檢視被刪除的訊息與傳送的檔案,而這些資訊往往也是扮演破案的關鍵證據,LINE傳送圖片檔案,如圖4所示。


▲圖4 LINE傳送的圖片。


電子郵件

電子郵件記錄了郵件主旨、內容、收發信件對象及郵件地址、日期時間等,不管來自Gmail或是Yahoo等郵件皆可以被檢視,其中並顯示所夾帶的檔案,可以讓鑑識人員得知有檔案傳送,可針對傳送檔案進行追查,如圖5所示。


▲圖5 查看電子郵件內容。


多媒體檔案

多媒體檔案包含圖片、聲音、影像、文件、檔案、資料庫等智慧型手機的使用行為,除了撥打電話的基本功能外,照相是在眾多行動應用服務中最常使用的功能之一。在XRY萃取資料統計表中,圖片是所有被刪除資料類別中復原數量最眾多的,因此以圖片為主來介紹。

XRY記錄圖片儲存的路徑、檔案大小、檔案格式、存取時間、修改時間、Metadata等資訊,其中Metadata記錄了拍攝圖片的手機型號、拍攝時間、經緯度、圖片解析度等資訊。除此之外,還發現許多不同檔案格式的圖片如.jpg、.cnt、.png以及來自Facebook、LINE、數位相機(DCIM)等縮略圖(Thumbnail)。

而被刪除的圖片通常隱藏著犯罪者不想被發現的秘密,藉由圖片的復原可以幫助調查人員解答關於Who、What、Where、How等問題。

動手實驗操作

本文使用XRY鑑識工具針對Rooted ASUS Zenfone 2 Android 5.0進行實體萃取。XRY實體萃取是對記憶體區塊進行位元流Bit-by-bit的複製,除了已配置儲存空間(Allocated Space)外,檔案剩餘空間(File Slack)及未配置空間(Unallocated Space)連帶進行複製。這種複製方法可以比邏輯萃取挖掘更深層的資料,更支援刪除檔案的復原。

實際上,一般的檔案刪除只是把檔案的索引資料刪掉,被刪除的資料仍然存於硬碟未配置的空間上,直到這些空間被覆蓋,檔案才算是真正消失,在被重新寫入前,都有可能進行復原。

在犯罪調查的工作上,刪除的資料隱含著不想被發現的秘密,這些秘密通常隱藏著破案的關鍵點,因此對於犯罪調查具有重大意義,而要進行實體萃取手機,必須先ROOT以便取得最高使用者權限。

整個操作流程如下所述。首先,取得手機ROOT使用者最高權限,接著安裝SuperSU最高權限管理工具。

然後是SuperSU工具的操作。先點選「設定」→「關於」→「軟體資訊」,持續點擊「版本號碼」,直到成為開發人員。接著,點選「設定」→「開發人員選項」,並勾選「USB偵錯」。緊接著,點選「設定」→「開發人員選項」,然後取消「透過USB驗證應用程式」。XRY在執行萃取時會在使用者的手機上安裝程式,若勾選「透過USB驗證應用程式」會造成XRY執行錯誤。

隨後,以USB線連接手機至電腦。然後點選XRY的「Extract Data」,XRY會自動偵測裝置,若沒有自動搜尋到裝置,XRY也提供手動的方式直接輸入手機型號搜尋(Manually Find Devices and APPS)。


▲圖6 XRY實體萃取檔案數統計表。


XRY提供了邏輯萃取與實體萃取兩種方式,這裡選擇實體萃取。XRY執行實體萃取時,提供了「SU binary」或「XRY rooting」兩種取得最高權限的方式。

「SU binary」在透過第三方程式取得手機最高使用者權限後,必須安裝SuperSU最高權限管理工具,剛剛已安裝完畢。「XRY rooting」則是使用XRY自家取得ROOT權限的方法,但支援手機型號少且容易ROOT失敗,因此這裡選擇「SU binary」取得最高權限。

實體萃取完畢後,選擇「Decode Imae」,解析萃取出的映像檔。

XRY在實體萃取分析完成後會產生檔案數統計表,如圖6所示,並且提供鑑識人員選擇Excel、XML、 HTML、PDF、Word、Google Earth等不同檔案格式輸出鑑識報告,鑑識人員可以很清楚地了解到有多少檔案被刪除,並且對這些刪除檔案進行檢視。

情境模擬實例演練

暑假期間,KTV經常發生青少年鬥毆事件,販毒集團因而看準了暑假期間,青少年易因賺取高額外快以供學費使用,不惜挺而走險謀取高額報酬,吸收涉世未深的青年學子從事販毒工作。

KTV是青少年易聚集、發洩心情、聊天交流的場所,也成為販毒集團推銷產品的重要管道之一。當執法人員抵達現場進入鬧事的包廂內,馬上聞到濃濃的K味,發現三男兩女在包廂內吸毒鬧事,並在桌上查獲10公克的K他命,在場的青少年隨即帶回進行偵訊。

藉此得知毒品由其中一位A君所提供,但A君不願交代毒品的來源,也使得執法人員懷疑幕後有販毒集團在操控青少年販毒,為了避免毒品危害更多青年學子,執法人員扣押了A君的智慧型手機,立即交由鑑識人員進行調查,找出幕後黑手。

鑑識人員透過鑑識工具XRY所提供的「XRY rooting」功能,取得手機的最高使用者權限,並進行手機的實體萃取,萃取完成之後的操作畫面如圖7所示。


▲圖7 XRY操作畫面。


鑑識人員檢視其鑑識結果報告,發現A君常與B君(劉姓男子)進行通話,如圖8所示。


▲圖8 顯示通話次數。


發現A君與B君在聯絡次數Time Contatected欄位次數異常高,顯示兩者交往密切,遂將這項發現告知執法人員。當調查人員詢問A君與B君的關係時,A君突然神色緊張,隨後急忙宣稱只是朋友關係,鑑識人員懷疑這位B君可能是幕後的藥頭,提供毒品交由A君販賣,於是追查A君與B君在通訊軟體的對話紀錄,發現在2016年3月21日上午4時9分,B君傳送訊息「最近有新貨到了,星期二傍晚6點老地方見」,如圖9所示。


▲圖9 列出通訊軟體對話紀錄。


鑑識人員猜想訊息「老地方」所指之處或許在瀏覽紀錄中可以發現答案,鑑識人員檢視了A君Google Map搜尋紀錄發現兩筆地點資訊,其中「奇美博物館」則為近期的時間點,如圖10所示,因此假設可能是「老地方」所指的交易地點。


▲圖8 顯示通話次數。


此外,鑑識人員從刪除的圖片中,發現B君透過通訊軟體傳給A君大家同樂的吸毒照,但鑑識人員不確定B君是否有出現在圖片中。

執法人員依鑑識人員目前所掌握到的線索,於星期二傍晚6點,調查人員要求A君坐在奇美博物館噴水池旁的椅子上,並在四周布滿眼線在旁埋伏守候,6點鐘左右,發現一名男子朝A君方向走去,執法人員比對圖片發現為參與吸毒的其中一人,待該男子察覺有異時,已被執法人員團團包圍上扣逮捕,並在該男身上查獲20公克的K他命。事後證實該男是與A君接洽的B君,執法人員藉由B君也因而破獲幕後操盤的黑幫販毒集團。

結語

本文使用具有國際公信力的鑑識工具XRY,幫助鑑識人員在不污染數位證據的狀況下進行取證分析,對智慧型手機執行實體萃取,可以挖掘出許多有用的資訊,尤其以被刪除檔案的復原對犯罪調查格外重要。刪除資料意味著犯罪者企圖隱藏的秘密,而這些不為人知的秘密往往就是破案的關鍵所在,因此能將刪除的檔案進行復原將是犯罪調查的一大助力。

當然,除此之外,實體萃取也萃取出大量有價值的個人資訊,如使用者的帳號密碼,使用者常會在各種不同的網路服務上使用同一組帳號密碼,因此只要取得犯罪嫌疑人其中某一組帳號密碼,就可以用相同密碼登入其他網站,從中獲取更多資訊,協助案件的偵查。

據此可知,數位鑑識為一體兩面,正面來看可以輔助鑑識人員用於數位犯罪調查工作上,但若被非法之人所用,將嚴重洩漏一般民眾的個人資料。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>

這篇文章讓你覺得滿意不滿意
送出
相關文章
萃取iPhone定位資訊紀錄 還原行動軌跡呈現地圖
安碁資訊成為國內唯一Security Operation Center自建數位鑑識中心
鑑識手機筆記協同軟體 萃取Evernote跡證
萃取iOS定位服務資訊 鑑識還原GPS軌跡記錄
檔案存USB裝置雖無Log 細察存取痕跡仍可鑑識
留言
顯示暱稱:
留言內容:
送出
熱門點閱文章