Facebook 智慧型手機 數位鑑識 即時通訊 社交網路 LINE 騰訊

破解QQ通訊加密 還原手機犯案真相

手機內可能包含使用者與他人的相關聯絡紀錄,而這些紀錄將成為佐證犯罪的強力證據,所以必須針對手機進行更深入的討論,同時因應各種不同的通訊應用程式,本文即探討對於藉由QQ作為犯罪媒介的各種犯罪手法,萃取手機內部證據,並分析出能佐證非法企圖的數位證據。

本實驗所操作的Android作業系統手機版本為5.1.1的Sony Z C6602。將手機的內部資料從手機內萃取出來可以有很多方法,其中以使用專業的手機數位鑑識軟體來萃取資料是最具法律保障的,萃取出的資料也相對較容易讓法官相信其具證據能力,因此本次的實驗是透過專業的數位鑑識軟體(例如XRY等)來備份QQ通訊軟體的資料庫以取得資料。

善用XRY手機鑑識軟體

XRY是一種手機鑑識軟體,目前此軟體只能運行於Windows系統中,它可針對多種行動設備例如智慧型手機、平板和音樂撥放器等執行數位證據萃取,如圖2所示。


▲圖2 XRY操作示意圖。

從手機萃取證據是一項很困難的作業,能夠使用的鑑識方法雖然不算少,但要能確保證據完整性並能讓法官採信的方式就是利用手機鑑識軟體來鑑識分析。

由於這些手機鑑識軟體在世界各國執法單位均有使用,較具有公信力,所以執行手機數位鑑識時,時常依靠它們取得關鍵的犯罪證據,因此更凸顯出XRY的重要性,尤其它能夠支援數千種型號的智慧型手機,並且會定期更新資料,以支援鑑識最新型號的智慧型手機。

鑑識與分析

為了保存證據的合法性,必須遵守一些鑑識原則,而手機在開始鑑識之前有些事前準備不可少。確實完成前面兩個步驟之後,正確使用XRY手機鑑識工具來進行。取得重要資訊後,為了分析,有必要了解QQ資料庫的加解密方式,這樣的鑑識步驟才夠周延。

鑑識原則的遵守

探究鑑識的重要性,無非是鑑識人員可以從數位設備萃取出數位跡證,進而還原事件。但數位跡證的萃取方式如何才是有效的,或者能保有證據力,皆是鑑識的竅門所在,以下列出五項鑑識原則來檢視鑑識過程是否合乎合理的程序。

數位跡證的儲存位置

鑑識人員在知道調查方向的情況下(如通訊紀錄、媒體檔案等),必須要能確切知道這些數位跡證的儲存路徑,以便萃取出數位跡證。一般情形下,App軟體會依檔案性質分類儲存,而這些儲存路徑也是初步簡單判斷紀錄檔內容的依據,如「/data/data/com.tencent.mobileqq /databases/」路徑下的檔案則可初步判斷為QQ所產生的檔案。但可惜的是,這些路徑常會因為Android系統開發廠商的不同而有變動。

蒐集方法

鑑識人員得視現場狀況來決定蒐集方法,例如行動裝置有無開機的情況。在無開機的情形,通常會透過鑑識工具直接做Bit-by-Bit的複製工作,隨後再行分析,而若是在有開機的情況下,則會先開啟飛航模式,然後維持開機並帶回實驗室進行萃取的作業。

正確性

鑑識人員萃取的檔案與原始的檔案必須相同,因此在完成前兩項的鑑識作業後,必須再確認數位跡證的完整性。

一致性

為了確保萃取出的數位跡證的可信度,在同樣的鑑識過程或方法下,鑑識的結果要求一樣,都要屏除人為因素,萃取結果不會因人而異。

實用性

隨著科技的快速發展,各類型的行動裝置也如雨後春筍般被推展出來。在這波趨勢中,希望鑑識流程或方法能套用各種裝置,否則假如每個裝置都各有一種不同的鑑識方法實為複雜,相對地鑑識人員也會消化不了。

手機事先準備工作

取得犯嫌的手機後,在開始鑑識之前,必須先進行以下的步驟以保全證據。

1. 開啟飛航模式

拿到非法企圖者的手機之後,應該要先開啟手機的飛航模式,藉此防止手機跟外界有任何的連結,以確保資料是原始的,並沒有遭到任何的竄改,如圖3所示。


▲圖3 開啟手機的飛航模式。

2. 開啟偵錯模式

採用XRY的原因在於,它是一套功能非常強大的手機鑑識軟體,而為了能夠萃取出非法企圖者使用的手機的內部資料,因此必須讓手機開啟USB偵錯模式,如此才能夠讓XRY成功連上手機並進行鑑識的動作,如圖4所示。


▲圖4 開啟手機的USB偵錯模式。

3. 確認手機型號和版本

必須得知手機的型號和版本,才能夠知道XRY是否支援此款手機,雖然XRY功能強大且時常更新,但是太過於新穎的手機型號或是內部的軟體版本,有時候XRY是沒有支援的,這時候就只能找尋有無其他替代的手機鑑識軟體可以針對此手機進行鑑識,如圖5所示。


▲圖5 查詢手機的型號和版本。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!