Evernote 協作平台 數位鑑識 筆記軟體 知識管理 網路犯罪 雲端

鑑識手機筆記協同軟體 萃取Evernote跡證

本文以Android手機示範非法者使用Evernote之筆記服務及利用Work Chat進行溝通,而鑑識人員使用手機備份工具對手機儲存裝置內容進行邏輯萃取,並結合所發現的事實與數位跡證分析結果,來證明非法者之間確實有非法意圖聯絡。

此外,於「\com.evernote\files\user-147765682」資料夾內的「.external-1469110431994-Evernote.db」資料庫檔案,以Sqlite Expert Personal開啟並檢視其中「message」資料表,發現有senderId分別為147765682及153881376的對話紀錄,如圖26所示。而按照上述萃取手機記憶體的步驟,可證實15388137655這組userId確為阿池所擁有。


▲圖26 以Sqlite Expert Personal檢視資料庫內容。

綜上,可理解阿浣與阿池確實有共犯關係,而其聯絡非法行為的管道如圖27所示。


▲圖27 非法行為聯絡管道示意圖。

在Evernote上無論是創建筆記、分享筆記或瀏覽筆記,除了皆會於Log檔案內留下紀錄外,也會在應用程式建於手機內部記憶體的資料夾中建立相關紀錄。即使起初阿浣不願承認其犯行,然其使用手機登入Evernote服務的活動軌跡,皆會被記錄下來。

接著,再使用合適的軟體進行萃取、解讀,相關的紀錄檔案與證據對照如表3所示,以連結跡證與事實之間的關聯。

表3 相關檔案與證據對照

結語

隨著智慧型手機的發展及應用程式的推出,人們的生活變得更加便利。而非法者亦有可能利用這些應用程式從事非法行為,不只非法者的手法複雜度可能有所提升而更不易於追蹤,且其非法行為證據也更易於隱匿銷毀而降低被發現的可能性。針對非法者以Android手機使用Evernote編輯筆記及利用其協作平台Work Chat訊息分享,DESCRIPTION檔案、XML檔案、TXT檔案、DAT檔案、ENML檔案、DB檔案等檔案內皆能找到手機型號、ID、登入信箱、使用者名稱、手機IMEI碼、活動紀錄、贓款丟包處所照片、筆記類型、筆記內文及對話訊息、對話對象等從事非法行為的資訊,證實非法者之間確實存在非法意圖,並還原了非法者與非法行為之間的關聯。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!