LINE iOS 行動 鑑識

新應用挑戰手機鑑識極限 蒐證LINE傳輸及無線列印

本文將探討iPhone手機於LINE即時通訊軟體傳送相關多媒體檔案、PDF文件檔及可能使用無線列印功能的鑑識分析方法,以實際測試方式進行,並針對備份檔來鑑識分析,找出相關數位跡證可能殘存檔案的路徑及相關聯的聯絡人資訊。
而所儲存的檔案透過檢視其屬性,亦可發現其建立和修改時間等資訊,如圖7所示,經測試係為所傳送或接收的時間。


▲圖7 檢視圖片檔的屬性資訊。

測試傳送及接收之多媒體與PDF文件檔有無被讀取(開啟)的留存資訊

針對與使用者所傳送及接收之多媒體及PDF文件檔案,進一步實驗檢測是否有相關檔案會留存於智慧型手機內。實際以一個聯絡人直接傳送與接收圖片、影音、語音及PDF檔案,並分別測試有無讀取(開啟)檔案的情形,再查看相關檔案是否會儲存於智慧型手機內。

相關的測試情形以及檢測結果彙整於表2,並說明如下:

圖片(照片)檔
此部分的圖片檔係指相關jpg、bmp等圖片(照片)檔,不含即時通訊軟體之表情符號功能內的相關貼圖;傳送及接收的圖片不論是否已讀取(開啟),該檔案會留存於智慧型手機內,儲存路徑如前述所提,在以聊天對話紀錄關聯之「ZMID」欄位值命名的資料夾內;如果在即時通訊軟體刪除該傳送或接收檔案,手機內的圖片檔就會同時刪除,無法以裝置邏輯備份萃取方式取得所傳送之圖片檔。

影音檔
傳送及接收的影音檔不論是否已讀取(開啟),該檔案均未留存於智慧型手機內;必須手動點選「儲存」於手機內,才能於相關路徑下找到該檔案,一般預設儲存路徑為「/var/mobile/Media/DCIM/」。

語音檔
傳送及接收的語音檔若未讀取(開啟),該檔案並不會留存於智慧型手機內;此外,傳送及接收的語音檔如已讀取(開啟),該檔案會留存於智慧型手機內,儲存路徑如前述所提以聊天對話紀錄關聯之「ZMID」欄位值命名的資料夾內;如果在即時通訊軟體刪除該傳送或接收檔案,手機內的語音檔仍會留存,這也是實驗發現唯一與其他檔案類型較為不同的地方。

PDF文件檔
傳送及接收的PDF文件檔若未讀取(開啟),該檔案並不會留存於智慧型手機內;若傳送及接收之PDF文件檔已讀取(開啟),該檔案會留存於智慧型手機內,儲存路徑如前述所提以聊天對話紀錄關聯之「ZMID」欄位值命名的資料夾內;如果在即時通訊軟體刪除該傳送或接收檔案的對話訊息,手機內的PDF文件檔就會同時刪除,無法以裝置邏輯備份萃取方式取得所傳送的PDF檔。

表2 傳送及接收之多媒體與PDF文件檔的跡證留存檢測結果

測試將圖片與文件進行無線列印之殘留跡證

接著,分別在iPhone手機上使用內建的AirPrint,以及在手機上安裝Canon PRINT Inkjet/SELPHY列印App進行無線列印實驗,並針對備份檔進行無線列印鑑識分析,相關鑑識發現結果如下:

以AirPrint進行無線列印
以AirPrint進行無線列印測試,發現無法以邏輯備份萃取方式找到明確的殘留跡證,研判AirPrint為iOS系統內建功能,可能需要在作業系統層以更進階的技術方能進行有效的鑑識萃取分析,因為本文主要以備份檔進行鑑識分析,所以此部分的鑑識調查研究留待於日後再透過其他鑑識技術進行。

安裝Canon PRINT進行無線列印
在iPhone手機上安裝Canon PRINT的App應用程式後,發現會建立一個「/var/mobile/Applications/jp.co.canon.bsd.iphone.PIXMA-Print」路徑資料夾,接著分別以照片及PDF、Word與Excel文件進行列印測試。

首先,以照片進行列印。以照片或圖片進行無線列印測試時,並未發現有殘留之數位跡證。接著,以PDF等文件檔進行列印,例如以PDF、Word及Excel等文件進行列印,無論是否完成列印,只要確認檔案已傳送至印表機端,均會在路徑「/var/mobile/Applications/jp.co.canon.bsd.iphone.PIXMA-Print/Documents/ReceivedFiles」下留存所列印之檔案,如圖8所示。


▲圖8 文件檔執行列印後殘留之檔案。

經檢視留存的檔案內容與所列印之檔案相同,只是檔案名稱會改以執行列印的日期時間進行命名,譬如於2015年10月17日17時3分55秒執行一份PDF文件列印,則所留存之檔案名稱為「20151017_170355.pdf」。

另外,也發現無論執行何種類型的文件列印操作,僅會留存最後一次執行列印之檔案(最後一次執行列印所留存之檔案產生時,即會清除前一次之檔案留存資料)。

從前面的各項實驗測試和鑑識分析中,可以發現在已讀取(開啟)且尚未刪除對話訊息的情形下,除了影音檔無檔案留存之外,其餘三項檔案類型均存有相關檔案跡證。

因此,透過前述的方式進行備份檔資料萃取分析,假使後來使用者已於手機刪除訊息資料,只要保有先前未刪除狀態下的備份檔資料,仍然可以有效地確認出LINE即時通訊軟體的使用者是否與某些聯絡人曾傳送或接收圖片(照片)檔、語音檔及PDF文件檔,進行非文字的一些通訊,或相關文件檔是否有進行無線列印操作情形。

結合相關檔案屬性的建立及修改時間,可有效確認該時間點是否有將可能為機密或敏感之資訊外傳洩露出去等不當情事。

另外在語音檔和PDF等文件檔部分,亦可透過是否有檔案留存,來判斷所傳送的語音檔案和文件資料是否為已讀取(開啟)情形,再藉由後續的鑑識調查分析,追蹤相關資料流向,以拼湊相關不法事件的數位跡證。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!