LINE iOS 行動 鑑識

新應用挑戰手機鑑識極限 蒐證LINE傳輸及無線列印

本文將探討iPhone手機於LINE即時通訊軟體傳送相關多媒體檔案、PDF文件檔及可能使用無線列印功能的鑑識分析方法,以實際測試方式進行,並針對備份檔來鑑識分析,找出相關數位跡證可能殘存檔案的路徑及相關聯的聯絡人資訊。
實際案例剖析

兩冠公司習慣使用即時通訊軟體LINE傳送資料及交代工作,在公司的一次例行性會議上,該公司主管於會議空檔上網查詢資料時,意外發現在網路上流傳一份文件資料,因資料為該公司的機密資料,且資料係由該主管以LINE傳送給資料處理科的員工,經調查可能涉嫌外洩資料為該公司資料處理科之員工A與B,透過智慧型手機的即時通訊軟體LINE所外洩。

恰巧該兩名員工所使用的智慧型手機均為iPhone 5S手機,經查扣手機進行鑑識分析,均查無所外洩之檔案資料等數位跡證,疑似手機上的通訊紀錄資料已被刪除,於是轉而對其所使用的電腦進行查扣並鑑識分析。發現所使用電腦有安裝iTunes軟體,且確實為所使用之智慧型手機配對使用。

經進一步清查其備份檔最後備份時間,剛好在資料外傳之時間後不久,故調查人員假設該備份檔係在手機透過LINE傳送外洩資料後,且尚未將傳送檔案訊息刪除前所進行之同步備份,遂分別對其邏輯備份檔進行鑑識分析,並以iTools和SQLite Database Browser(version 3.2.0)等工具軟體檢查相關備份檔,相關鑑識過程及發現分別說明如下:

員工A之手機備份檔鑑識分析

首先,在備份檔之LINE即時通訊軟體路徑「/var/mobile/Applications/jp.naver.line」底下進行搜尋。

除了原公司主管所傳送之檔案數位跡證外,另外在路徑「/var/mobile/Applications /jp.naver.line/Library/Application Support/Message Attachments/ub9a8aae2553a69d57f20296b57dbe3a7」下發現一個可疑的PDF文件(圖9),遂萃取該檔案並檢視內容,發現果然是公司所外洩的機密文件,且檢視建立時間與資料外洩時間相近,如圖10所示。


▲圖9 發現可疑檔案。

▲圖10 檔案建立時間(傳送時間)。

依照發現文件檔所在路徑之資料夾名稱「ub9a8aae2553a69d57f20296b57dbe3a7」,比對「/var/mobile/Applications/jp.naver.line/Documents/」底下的「talk.sqlite」內資料表ZUSER的「ZMID」欄位值,發現對應的聯絡人是員工A的一名張姓友人,如圖11所示。


▲圖11 查詢ZMID值所對應之聯絡人資訊。

另外,在路徑「/var/mobile/Applications/jp.co.canon.bsd.iphone.PIXMA-Print/Documents/ReceivedFiles」下發現有一個PDF文件檔,檔名為「20151009_171525.pdf」(圖12),經檢視其內容,也與外洩資料相同,再查員工A的手機確實有安裝Canon PRINT應用程式,顯示於2015年10月19日17時15分25秒曾透過手機的無線列印App執行列印動作。


▲圖12 發現使用無線列印之數位跡證。

員工B之手機備份檔鑑識分析

以對員工A之相關步驟以及對員工B的手機備份檔資料進行鑑識分析,除了原公司主管所傳送的檔案數位跡證外,並未發現已經外洩的檔案資料等數位跡證。

本案例除了原公司主管所傳送的檔案數位跡證外,只有在員工A的手機備份檔相關路徑下找到外洩的文件資料跡證,且殘留之文件資料檔案顯示文件確實有被員工A讀取(開啟),並透過LINE即時通訊軟體傳送該文件給非該公司的人員。

此外,也在Canon PRINT App的相關路徑下發現有將外洩檔案執行無線列印的數位跡證,可藉以查證員工A是否有透過列印以紙本方式將資料攜出。

綜合前述的相關鑑識分析結果,員工A涉有重大嫌疑,相關數位跡證可提供調查人員進行後續的調查參考,經調查人員對員工A的張姓友人進行約談,該名友人坦承係員工A透過即時通訊LINE傳送給他,網路上相關資料係其所上傳分享。

結語

即時通訊軟體的功能隨著科技不斷在更新,目前可以進行傳送的資訊包含文字、多媒體及文件檔等,另外相關照片及文件檔也可能使用e-Print列印功能進行資料輸出。

而本文透過iPhone 5S手機上之LINE即時通訊軟體進行照片、多媒體與文件檔案傳送,並以Canon PRINT應用程式進行照片和文件檔之無線列印測試,以iTools及SQLite Database Browser等工具軟體於備份檔之中尋找出可能殘留的數位跡證,以實際測試分析相關殘留檔案的路徑及特徵,並以情境案例進行說明,提供以備份檔找出可能潛藏的相關數位跡證及可能相關資訊/?證據關聯的一種鑑識調查方式。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!