隨著科技的進步,想要做筆記已不再侷限於一般的紙本記事本,現在的手機、平板以及電腦都具備相關方便易用的筆記軟體App。本文將著重於跨平台的筆記軟體Evernote的介紹和鑑識方法,說明其常用功能及可能被非法者利用的地方,並利用鑑識工具在iPhone上進行簡易的鑑識,最後以案例方式說明,當非法行為發生時,Evernote可能會留有什麼證據在手機記憶體中,而這些證據與非法者有何關連,以方便鑑識人員的調查。
可攜式裝置之鑑識
近年來的研究報告都是針對手機所使用的技術、處理程序和常見的證據儲存位置。一般來說,這些資料都可以從手機的內部記憶體中進行萃取,包括通話紀錄、簡訊、電子郵件、照片等。
像是iPhone中的資料可透過物理或邏輯的方法進行萃取,不過物理萃取通常需要將系統進行越獄,使得系統的資料受到輕微的修改。Android智慧型手機也可透過物理或邏輯的方法進行萃取,但通常需經過root的程序才能獲得完整的資料。
本文將利用iPhone手機進行Evernote的邏輯鑑識取證工作。
筆記軟體鑑識
由於許多筆記軟體都整合進智慧型手機,一般來說,鑑識人員可能在非法者的智慧型手機找到相關證據。智慧型手機儲存的資料往往能夠協助確認該設備如何被使用者使用。
因此,透過筆記軟體所記錄的資料可能儲存在智慧型手機內。本文將側重於有關筆記軟體Evernote資料的萃取,透過活動的執行來確定這些應用程式的資料是儲存在智慧型手機中,並且可以加以萃取成為證據。
鑑識相關工具介紹
鑑於現今手機內儲存的跡證對於非法行為的調查有極大的用途,因此有越來越多的軟體被開發來運用於此。一般來說,分為免費和付費型,免費的功能通常較為簡單,且常需要透過手動操作,像是iTools、plist Editor、SQLitebrowser等等。
付費的軟體功能較為全面,而且是全自動化處理,如XRY Forensics’Examination Kit(XRY)、Cellebrite’s Universal Forensic Extraction(Cellebrite)、Radio Tactics’Aceso(RTA)等等。
所以,在專業鑑識上通常傾向於使用付費的鑑識工具進行操作,但在本次情境模擬則是使用免費軟體進行操作,代表只要具備專業能力,即使使用免費軟體仍對鑑識上有相當的幫助。
iTools應用程式
使用iOS系統相關設備(iPhone、iPad、iPod touch等)的使用者都知道Apple產品有一個共通的缺點,就是iTunes在使用上有一定的限制,因此iTools便是非官方第三人所開發出來方便管理iOS系統相關設備的一個人性化的工具,讓使用者可以採用傳統「拖、拉」的方式來管理檔案,亦可針對備份進行管理。
plist Editor
plist Editor是一個在Windows系統下的Mac OS屬性列表文件的編輯工具,它讓使用者可以編輯plist文件。plist Editor主要特點如下:
- 1. 支持XML的格式和二進位格式的plist文件
- 2. 語法重點標記
- 3. 支援一般的表達式搜尋以及替換
- 4. 刪除無限制
- 5. 書籤
- 6. 可隨時更改外觀並提供容易使用的使用者介面
- 7. 在保存之前檢查plist語法是否正確
編輯plist文件的時候,只需透過Windows plist編輯器,接著再打開XML或二進位格式屬性的文件,之後以純文件就可以進行編輯,最後以原始格式儲存即可。
情境模擬演練
非法者阿明是名慣竊,在自己電腦的Evernote中新增記事本—目標對象,並在各記事中新增其居住區域、地址及詳細資訊,如家庭、獨居、安全、危險等目標對象的資訊,之後阿明前往各地點用iPhone進行拍照作業,之後再用手機將照片新增到Evernote資料內。
目標對象發現被害而向相關單位報案後,執法人員循線找到阿明家,阿明雖然將電腦中的資料刪除,卻在急忙之中忘了刪除手機內的資料。
鑑識方法
在該情境中阿明使用的是iPhone(iOS版本為6.1.3)手機。為了將iPhone內的資料萃取出來,鑑識人員使用iTools和plist Editor來進行鑑識。
一般來說,鑑識的方式分為物理萃取與邏輯萃取,物理萃取指的是鑑識人員在被鑑識之手機中安裝鑑識工具,透過鑑識工具將手機內部資訊以位元複製或製作映像檔的方式萃取出來,再以傳統的數位鑑識方式分析。而邏輯萃取則是透過與作業系統的互動而將被鑑識之手機內可以見到的內容擷取出來。
這裡必須透過直接操作iPhone的方式搜尋欲取得的數位證據。若所查獲之iPhone手機已經過反鑑識技術加密或損毀,則無法透過邏輯萃取的方式將資料萃取出來。
在本案例中,採用邏輯鑑識的方式來對iPhone手機進行數位證據的蒐集,將iPhone連接到電腦上,之後開啟iTools讀取iPhone的資料,如圖1所示。
|
▲圖1 利用iTools讀取iPhone的介面。 |
接著,再從要進行鑑識的資料夾內開始尋找可使用之資料,如圖2所示。
|
▲圖2 iPhone中儲存Evernote資料的資料夾。 |
這裡會依照檔案類型的不同而使用各自對應的檔案讀取軟體。為了提升證據的可信度,避免發生手機證據遭到修改的狀況發生,因此將手機內的資料備份到硬碟中再進行鑑識。
基本上,在手機內所可能復原的Evernote應用程式資訊包括使用者登入帳號、使用者名稱、筆記文字內容、圖片等。這些資料對於鑑識人員來說十分有用,尤其是確認登入者及其發布各項訊息的時間,將有助於確認非法者的非法行為及其身分。
鑑識流程
鑑識人員為了確定非法者阿明之犯行,將證據分為以下三個方面來進行鑑識,分別為「帳號或信箱」、「圖片」以及「記事內容」,鑑識流程則如圖3所示。
|
▲圖3 鑑識流程圖。 |
為了增加證據的可信度,鑑識人員必須確定該帳號的確為非法者所擁有,而且圖片與記事內容時間必須相近,以確定彼此間的關係,進而證明非法者之犯行。