Facebook 智慧型手機 數位鑑識 即時通訊 社交網路 LINE 騰訊

破解QQ通訊加密 還原手機犯案真相

手機內可能包含使用者與他人的相關聯絡紀錄,而這些紀錄將成為佐證犯罪的強力證據,所以必須針對手機進行更深入的討論,同時因應各種不同的通訊應用程式,本文即探討對於藉由QQ作為犯罪媒介的各種犯罪手法,萃取手機內部證據,並分析出能佐證非法企圖的數位證據。

使用XRY手機鑑識工具

當所有事前的工作都完成後,就可以進入XRY的鑑識工作,XRY的操作非常地直觀,首先讓手機連上電腦,這時候XRY會先偵測此手機的型號和基本資料,如果手機未開啟偵錯模式或是XRY不支援,就會在第一個步驟被擋下來,無法進行後續手機鑑識作業,如圖6~7所示。


▲圖6 選擇連接裝置。


▲圖7 選擇萃取模式。

透過上述操作步驟後,就可以讓XRY進行手機鑑識,本次實驗選擇的方法是採用實體萃取,因此需要許多時間,而執行時間視非法企圖者的手機內部儲存容量而定,如圖8所示。


▲圖8 XRY萃取資料。

當XRY執行鑑識程序結束後,會把所萃取出的資料先匯出成一個報告,將所有找到的資料分門別類地放好,如圖9所示,讓操作者可以依照鑑識需求,去特定資料類型的位置尋找。例如QQ的資料庫就是存放於「Databases」項目裡,所以直接去「File」項目下找到「Databases」這個項目後,即可發現QQ的資料庫。找到資料庫後可以將它萃取出,並進行相關鑑識作業,如圖10所示。


▲圖9 XRY完成萃取資料。


▲圖10 找到QQ通訊軟體資料庫。

認識QQ資料庫加解密

QQ的資料庫包含許多內容,而有關於聊天紀錄則是會做成一個資料表存放在資料庫內,與不同的人聊天就會分別做成不同的資料表,資料表的名稱也會依照聊天對象的ID取HASH值來做區別,其格式為「mr_friend_***********************_New」中間的*字號則是取得的HASH值。

經由資料表可以看出QQ對於資料庫裡的內容是有加密的,尤其是聊天紀錄更是如此,如圖11所示。


▲圖11 檢視QQ通訊軟體聊天紀錄。

為了能夠取得解密後的資料,必須深入地調查QQ的加密方法。在加密的情況下,又可以細分成兩類,一種是針對整個資料庫進行加密,如果沒有經過解密,資料庫是沒有辦法打開的,例如微信(WeChat)通訊軟體就是這種加密手法;第二種則是針對資料庫的內容進行單獨加密,在沒有解密的情況下可以將資料庫打開,並取得未加密的資料表和其欄位的明文內容,但卻無法取得加密過後欄位的明文內容,只能看到亂碼而已。由此可知,QQ是屬於第二種,因為只有聊天紀錄是亂碼,但可以很輕鬆地得到其餘的資料,例如訊息有無讀取等。

知道QQ的加密類型後,開始解析其加密方法,發現QQ是以使用者手機的IMEI為密碼,對聊天紀錄進行加密,於是針對QQ的加密方法自行撰寫一個解密程式,利用此程式將聊天紀錄還原成明文後,並匯出至Word檔,就能夠讀取聊天紀錄,如圖12所示。


▲圖12 檢視解密內容。

實例演練

話說C君是位在中國大陸的犯罪首腦,利用手機通訊軟體QQ與台灣的T君進行連絡,兩人利用QQ通訊軟體進行非法貨品,例如毒品交易,包括價錢的談判和交易的位置,都是利用QQ通訊軟體來完成,T君遭到調查後,調查人員從T君的通訊手機著手,藉以得到更多的資料與非法活動相關的重要人事物跡證。

首先調查人員先直接操作手機,卻發現QQ已經上鎖,且T君不願告知密碼,所以無法直接檢視相關對話內容,如圖13所示。


▲圖13 QQ通訊軟體已上鎖。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!