針對世界盛行的FB Messenger,以Root後的手機透過ADB工具備份App資料,萃取其資料備份後,利用Cygwin還原成Windows環境可操作的資料,並以SQLite Database Browser對其內的聊天紀錄等資訊分析。藉由這些公開免費的鑑識分析工具,找出目標手機中遺留的通訊紀錄,以揪出跨國犯罪集團的幕後主使者。
依據《Statista》的調查,FB Messenger在全世界的使用率與WhatsApp攜手居冠,均達到每月一百億的使用人數。由圖1可得知直至2017年,全世界主要使用FB Messenger和WhatsApp當作日常使用的通訊軟體。
|
▲圖1 各種通訊軟體的使用比例(至2017年1月)。 |
由於Facebook已經在2014年以190億美元收購WhatsApp,讓Facebook等同稱霸了全球158個國家的通訊軟體,占聯合國會員國總數超過8成,其市占率和使用客群已不容小覷。因此,本文選擇FB Messenger,試圖在多數人較常使用的系統內找出App在雙方傳輸訊息的過程中於智慧型載具留下跡證的可能位置。
鑑識工具及實驗步驟說明
以下介紹鑑識過程將會採用的軟體工具ADB、Cygwin以及SQLite Database Browser,並簡單說明整個實驗流程。
ADB
ADB是一個多功能的命令行工具,可讓使用者與設備(例如模擬器或已連接的Android設備)進行通訊。ADB的命令便於各種設備操作,例如安裝和對應用程序除錯,並且可以利用Unix Shell在目標設備上運行各種命令。它是一個主從式程序,其中包括三個組件:
1. 用戶端(Client):運行在開發機器(電腦),可以透過從Shell輸入ADB命令來使用用戶端,或從其他Android工具(例如DDMS)建立ADB用戶端。
2. 守護行程(Daemon):一種在後台執行的電腦程式,可以在SDK的platform-tools中找到ADB工具。
3. 服務端(Server):作為一個後台程序在開發機器(電腦)上運作,負責管理用戶端和模擬器(設備)上的ADB守護行程之間的通訊。
圖2為官方提供的Android Studio介面,其中包含ADB Android等開發工具。在本文的實驗情境中,為遵守IACIS所提出之鑑識流程,同時須兼顧鑑識人員所使用和學習時的成本,以Android官方提供的開發工具作為本案備份工具。
|
▲圖2 Android Studio介面。 |
Cygwin
Cygwin是一個在Windows平台上運行的類Unix模擬環境,由Cygnus Solutions開發,其功用是在Windows上模擬出Linux,讓使用者在Windows環境下可以使用Linux終端機指令的程式,例如bash、dash、shell等。由於政府及執法單位多數仍然使用Windows系統,以Cygwin輔助,便於一般習慣Windows環境的使用者學習或操作Unix/Linux。
SQLite Database Browser
SQLite Database Browser是用來處理SQLite3資料庫文件的應用軟體,能夠打開SQLite3資料庫文件,除了也是免費軟體外,其便利性在於無須再額外安裝資料庫伺服器(引擎),又可以使用SQL語法的特性存取資料。且操作介面直觀,不論是建立、修改或存取SQLite資料庫,都很容易上手。
實驗流程簡述
本文使用的Android智慧型手機版本作業系統版本為Android 4.4.2,手機品牌為ASUS(ASUS華碩ZenFone 5)。本文以上述Android智慧型手機為目標平台,對於其安裝的FB Messenger App嘗試萃取通訊內容。考量到大多數的鑑識環境使用Windows環境居多,為了減少學習成本,讓鑑識人員可以直接在Windows環境操作,並搭配Cygwin將過程中產生的Unix/Linux環境轉換為Windows格式。
本文實驗藉由以ADB備份目標ASUS手機,完成保存程序,並將手機Root以完整備份,需要高權限才能存取的「\data\」資料夾,透過將備份檔以Cygwin轉換成一般Windows可操作的格式進行分析,最後找出FB Messenger儲存歷史訊息的資料庫,以找出通訊內容,如圖3所示。
|
▲圖3 實驗流程圖。 |
實例演練
近日傳出遠銀爆發遭駭將近18億元的事件,經過初步調查,駭客集團是透過SWIFT這個全球金融機構通用的系統,利用新興病毒進行惡意攻擊。隨著與斯里蘭卡共同偵辦,經線報逮捕駭客集團成員A並現場扣押A手機,在一番訊問後,得知集團成員為了掩人耳目,均藉由購買二手手機的方式隱藏身分,並與遠在斯里蘭卡的集團首腦B連絡通訊。於是鑑識人員決定從扣押得來的手機中著手,找尋是否有案情相關的對話或通訊紀錄,並揪出幕後主使者。