本文將介紹如何從iPhone中萃取個人地理資訊的方法,並以iPhone內的數位證據在保管過程中遭到惡意刪除作為案例,說明個人地理資訊對於調查案情的需要性,也清楚印證證物管理鏈為數位鑑識人員處理數位證據之重要遵循原則。
智慧型手機已逐漸取代電腦的功能,無論上網、拍照及發送社群軟體訊息,幾乎都可以在智慧型手機上進行,而時下最流行的拍照打卡,上傳至社群媒體進行分享,更是風靡每個世代,但在享受資訊帶來便利服務的同時,亦在自身手機中留有個人的地理資訊。
隨著打卡風潮的盛行,犯罪人員也可能在自身智慧型手機上留有其個人地理資訊,而若當有機會可以對犯罪人員的智慧型手機進行鑑識分析時,便有可能在其中找到相關的打卡拍照照片,而透過數位鑑識萃取方法,便可以在犯罪人員手機中,發現其過去的地理行動軌跡,搭配案情進行分析,便有機會發現有力的關鍵數位證據。
然而,當執法單位進行數位證據鑑識作業時,會直接接觸到證據,故執法單位內之證物管理鏈(Chain of Custody)將十分重要。一旦數位證據遭到更動時,便會使數位證據喪失證據能力,而調查行動也可能功虧一簣,故執法單位處理數位證據時必須小心謹慎。
執法單位在處理數位證據時,可用Hash函數對數位證據進行Digest驗證,並比對運送或鑑識前後之Digest,當Digest相同時,代表證據與原證據相同,而如果Digest不同時,代表證據與原證據已不相同,必須調查清楚中間變動證據的原因,而若是合法改變證據時,必須將操作流程詳加記錄並書面化,以供法官審理案件之參考,一旦有人提起疑慮時,必須有充分理由說明改變證據的原因與必要性。
了解相關背景知識
以下先介紹本次數位鑑識所須具備的相關知識,以及會使用到的數位鑑識工具。
Google地圖
Google地圖(Google Maps)是Google公司向全球提供的電子地圖服務,地圖包含地標、線條、形狀等資訊,提供向量地圖、衛星相片、地形圖等三種視圖,並可建立屬於自己的地圖,可將景點進行標記,亦可匯入GPS資料,在畫面中顯示自己的地圖。
Google地圖記錄地圖資訊的檔案格式為KML檔,中文翻譯為鎖孔標記語言(Keyhole Markup Language),是用來標示一個地理資訊,其中包含經緯度、海拔,並承襲XML的結構。
KML方便處在於可以在網路上流傳,只要把自己所創建的KML檔傳給對方,對方再以Google地圖開啟,便可用地圖方式知道自己所標記的位置。
手機數位鑑識
分析方法主要可以區分為邏輯萃取(Logical Acquisition)與實體萃取(Physical Acquisition)兩種。
邏輯萃取資料,乃是對某些原始資訊進行萃取的動作,這些資料內容較為完整且有邏輯,可經由鑑識軟體與作業系統通訊協定的交換來取得,其大部分的資料都是完整的,並且以可閱讀的方式呈現。
而進行實體萃取時,必須使用行動裝置硬體儲存資料的存取方法,反向將資料萃取出來。通常在進行實體萃取時會寫入一個特殊程式到手機儲存硬體中,藉以取得儲存硬體的完整映射。一般來說,若在鑑識的過程中,發現資料遭惡意抹除,可嘗試利用實體萃取的方式還原資料。
證物管理鏈
從蒐證現場到法庭的過程中,每一個蒐證和保管的過程環節,都必須清楚被記載在相關的表單中,確保蒐證的證物沒有被污染。在整個證物管理鏈中,只要有任何非依法定程序處理的活動,都將使證據的證據能力受到影響,甚至於失去效力。
因為數位證據擁有易於修改與不易保存等特質,使得整個數位證據的證物管理鏈流程中每一個階段都是管理重點。對數位證據而言,最為人詬病的便是證據能力的問題,也因此在數位證據的證物管理鏈中,每一個流程都應謹慎為之,才能避免使數位證據不被法庭採用。
軟體工具
本文的使用環境以Macintosh系統為主,將使用到iPhone Backup Extractor和iHash兩項工具。
iPhone Backup Extractor
透過iPhone Backup Extractor就能夠直接檢視iPhone備份檔案,並可於HFS+架構下選擇資料夾萃取iPhone備份內容。
如圖1所示,其特別之處在於具備將iPhone內所有地理資訊輸出成KML檔案的功能,故本文僅著重於其地理資料輸出功能。
|
▲圖1 iPhone Backup Extractor操作畫面。 |