本文將探討iPhone手機於LINE即時通訊軟體傳送相關多媒體檔案、PDF文件檔及可能使用無線列印功能的鑑識分析方法,以實際測試方式進行,並針對備份檔來鑑識分析,找出相關數位跡證可能殘存檔案的路徑及相關聯的聯絡人資訊。
有數位科技型態的犯罪事件發生,就有數位鑑識的產生與實施,而且數位鑑識方式必須隨著新興的行動技術進行快速有效因應。先前的電腦市場,主要是以幾個不同的Windows版本為主,以及一些Mac OS或基於UNIX的系統,而現在大多數使用者隨身攜帶的個人設備,是Android和iOS作業系統的智慧型行動裝置,運行在幾年前根本不存在的作業系統軟體環境,這些裝置更容易包含敏感訊息。
此外,由於市場的競爭性,這些系統裝置不斷地推出新型號及新版本,增加的新功能是為了吸引更多的用戶選購。例如透過行動裝置直接進行e-Print列印,常見的功能為透過Wi-Fi網路進行無線列印,像iOS作業系統中提供的AirPrint功能,或在行動裝置上安裝適用於特定廠牌印表機的列印App,相關照片與文件就可以輕鬆透過此功能進行無線列印。但從數位鑑識的角度來看,這也可能是提供不法案件相關資料傳送及取得過程中的一個環節。
為了因應前述這些新的資訊科技及可能使用的即時通訊軟體LINE,本文將嘗試透過iPhone手機備份檔進行鑑識,找出LINE即時通訊軟體在傳送多媒體、文件檔案及使用無線列印功能可能留存之數位跡證,以進行相關鑑識分析,提供萃取重要數位證據的有效方法。
背景知識簡介
接著,介紹Apple行動裝置的資料萃取方式、iTunes備份檔所儲存的主要檔案類型,以及說明何謂e-Print無線列印。
Apple行動裝置資料萃取方式
若要取得iPod/iPhone/iPad設備當中的資料,大致有三種方法,第一種是透過一台電腦對其進行iTunes的同步備份,也稱為備份萃取;第二種是對設備進行越獄並以複製工具取得映像檔,也稱為裝置實體萃取;第三種則是拆解設備並對所取得的儲存記憶體進行資料萃取。
第一種在電腦上檢視iTunes的同步備份資料是最簡單及有效的方法,因為它可以從Apple的設備資料產生一份邏輯副本。然而,這種方法在該設備需要正確的iTunes軟體配對,以利進行同步,而且該方法不能有效恢復已被刪除的檔案或資料夾。
iTunes備份檔所儲存的主要檔案類型
透過使用iTunes,在備份資料夾中建立的檔案主要有plist檔、SQLite檔、多媒體檔案及沒有副檔名的檔案等幾種類型。plist檔可能包含手機內的設定值、狀態資訊、應用程式設定與偏好設定等資訊。
SQLite檔是智慧型行動裝置經常使用的資料庫檔案格式,如儲存手機內容、通話紀錄、行事曆與簡訊等,SQLite與一般資料庫差異不大,惟其無須建立資料庫,都是以單一檔案的形式存於磁碟內,不需再安裝資料庫伺服器軟體,也因為檔案較小及速度較快的特性,常被手機App軟體用來儲存相關資料。
此外,在備份資料夾內也經常可以看到一些多媒體檔案,例如即時通訊軟體內所傳送接收的圖片及語音檔等,大多可在備份資料夾內找到;其他是沒有副檔名的檔案,需要進一步調查分析,才有機會確定這些檔案的內容。
iOS備份的一個重要方面是多媒體檔案,利用行動裝置內建照相攝影功能所拍攝的照片及影音檔,透過執行備份後,會在路徑「/var/mobile/Media/DCIM」底下找到,如圖1所示。
|
▲圖1 備份檔儲存行動裝置拍攝之多媒體檔案。 |
除了行動裝置所拍攝之照片等多媒體檔案外,透過即時通訊軟體LINE所傳送的多媒體檔案,也會儲存於行動裝置內,透過同步備份亦可於路徑「/var/mobile/Applications/ jp.naver.line/Library/Application Support/Message Attachments/」底下找到,如圖2所示。
|
▲圖2 備份檔儲存LINE所傳送之多媒體檔案。 |