Dropbox 雲端硬碟 數位鑑識 iOS 行動 鑑識

探查iOS裝置及桌機 鑑識Google雲端硬碟跡證

本文藉由探討在安裝Windows作業系統的個人電腦及iPhone智慧型手機上,使用Google雲端硬碟儲存服務之相關鑑識分析工作,得以即時存留數位跡證,以便事件發生時能迅速還原現場。
一開始發現手機有安裝Google雲端硬碟的App應用程式,遂以plist Editor軟體檢查在路徑「/var/mobile/Applications/com.google.Drive/Library/Preferences」下的com.google.Drive.plist檔,發現使用Google雲端硬碟所註冊的電子郵件等資訊如圖11所示,並確認該電子郵件帳號係犯嫌B所使用。


▲圖11 com.google.Drive.plist顯示註冊使用資訊。

由於鑑識人員在手機的備份檔上花費許久時間,卻找不到其他相關數位跡證,遂改為檢查犯嫌所使用的個人電腦,發現在該電腦上有安裝Google雲端硬碟同步程式,且於路徑「C:\Users\User\AppData\Local\Google\Drive\user_default」下發現可能儲存重要資訊的sync_config.db與snapshot.db資料檔,並逐一進行鑑識分析。

在sync_config.db內發現使用Google雲端硬碟所註冊的電子郵件(圖12)與在手機所發現是一樣的,可以確認使用者應為同一人,另從該資料檔也發現本機端之同步資料夾的路徑資訊,且設定為預設將同步資料夾內的資料全部自動同步。


▲圖12 sync_config.db相關資訊。

在snapshot.db的cloud_entry資料表內,如圖13所示發現10筆jpg圖檔,且檔案建立時間(created欄位值)相近,經轉換時間顯示為2015年3月8日17時5分至17時30分期間所同步上傳,且shared欄位值均為1(有開啟連結共用設定),顯示可能有與其他人分享共用的行為。


▲圖13 snapshot.db之cloud_entry資料表相關檔案資訊。

最後在犯嫌之電腦端同步資料夾內,也發現所上傳的相關照片檔與snapshot.db內容相符,如圖14所示,並察覺其中幾張照片即為人氣女模A在Facebook社群網站被轉載分享的自拍照,從犯嫌所使用的智慧型手機及個人電腦之相關數位證據,顯示該自拍照有很大的可能性為犯嫌B所上傳分享,後續並將相關證據資料提供給調查人員處置。


▲圖14 在犯嫌的電腦同步資料夾內發現照片檔。

結語

大多數人使用雲端儲存服務,用於隨時隨地去管理自己的文件及檔案。雖然雲端儲存的易存取性對雲端儲存服務的普及提供莫大的助力,然而這也容易造成惡意用戶濫用雲端儲存服務從事非法活動。

對此,本文討論當使用Google雲端硬碟儲存服務進行非法活動時,仍然會在智慧型手機或個人電腦中找到相關的數位跡證,藉此查知確認非法活動的相關紀錄,得以協助調查事實真相而還原現場。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!