與隱私安全有關的資料抹除或網頁隱私瀏覽等應用程式能夠抹除敏感資料,但卻可能被非法份子拿來當作反鑑識工具。對此,本篇將介紹Android手機常見的反鑑識手法,並針對Android手機進行網頁隱私瀏覽鑑識,得以萃取關鍵的數位證據。
不過,會發現這套鑑識方法對Chrome的取證作業已經失效,因為不管SQLite Database Browser或是16進位檢視器皆找不到關鍵的數位證據,只有發現少量瀏覽過的網址及加密後的對話訊息;但對其餘的隱私瀏覽器如Orweb,可以找到更多的數位跡證,如搜尋的關鍵字、登入的Facebook帳號及網域名稱等。
手機隱私瀏覽之反鑑識手法
有關上述提到的鑑識方法,是針對Chrome存放的檔案路徑進行萃取,所以也要考慮到非法人士可能會竄改或刪除該檔案路徑來達到銷毀證據來源的目的。
接續上述的例子,非法人士能夠將com.android.chrome整個資料夾刪除,導致鑑識來源失效,也讓Chrome無法運作,相關操作如圖4所示。
|
▲圖4 銷毀Chrome證據來源。 |
若要恢復Chrome的運作,只要手機重新載入Chrome的apk檔案進行安裝,或由電腦端進行安裝作業即可完成。
手機隱私瀏覽之記憶體跡證分析
網頁的隱私瀏覽從電腦端發展到手機端,其隱匿效果也隨著時間增強,前面提到的Chrome隱私瀏覽,透過傳統萃取檔案路徑的方法,僅找到極少的瀏覽紀錄,無法挖掘到重要的關鍵證據。
有鑑於此,考慮到程式在執行的過程中會占用記憶體空間,在占用的過程中若隨意釋放記憶體,會導致系統當機,所以記憶體中存放著可能是一些較敏感的資訊。
由於可揮發性記憶體當中的資料容易隨著時間流失,在鑑識過程中具有一定的難度,所以一般傳統的數位鑑識著重在手機的內存記憶體與外接SD記憶卡。在面臨反鑑識技術猖獗的環境之下,記憶體鑑識是一道曙光,有機率能夠找到重要關鍵的數位證據,如使用者的帳號密碼。以下將介紹Android手機的記憶體鑑識,說明如何對網頁隱私瀏覽進行有效證據萃取作業。
進行環境建置
Android系統是在Linux的基礎下所開發,記憶體相關操作是在系統的核心層執行,一般Linux常見的記憶體傾印工具如LiME、Draugr、Volatilitux及Memfetch等,若要成功地在Android上進行記憶體傾印,就必須透過方法將工具載入Android的系統核心模組,過程需要編譯手機硬體裝置的原始碼,手續相當繁雜。
為了節省開發時間,此處採用sukewsy所釋出的Memory Dump(ROOT)記憶體傾印工具,可於Google商店下載或是自行載入apk檔進行安裝。不過,進行Memory Dump之前手機必須Root取得最高權限。
接下來,介紹如何Root手機以取得最高權限。這裡以紅米Note 4G手機(型號HM NOTE 1LTE1)為例進行相關操作,採用的方法是替換原本手機廠商的Recovery模式,而成為第三方Recovery模式(TWRP),藉由TWRP安裝SuperSU來取得Root最高權限。
手機官方的討論版有釋出TWRP的安裝壓縮檔提供用戶端使用。安裝第三方Recovery來取得Root的好處是,當Android更新版本時通常Root會被拿掉,這時候使用者只要重開機回復到Recovery模式,即可取得SuperSU,SuperSU操作畫面如圖5所示。
|
▲圖5 SuperSU操作畫面。 |
開始鑑識分析
完成Root程序後,即可下載Memory Dump程式進行安裝。
安裝完成之後開啟Memory Dump,可選擇對哪個執行中的程式進行記憶體傾印。以Chrome瀏覽器為例,先搜尋關鍵字「chrome」,會出現四個有關chrome的執行緒,每一個執行緒都必須點進去,然後選擇全部的記憶體分頁執行Dump,即可開始傾印記憶體,整個過程約5至10分鐘,相關操作如圖6所示。
|
▲圖6 Memory Dump之操作過程。 |
當萃取記憶體完成之後,所Dump下來的記憶體分頁會全部存放在手機SD卡的MEMDUMP檔案內,可透過小米助手或是ADB(Android Debug Bridge)將檔案上傳至電腦端進行分析作業,接著操作下列步驟執行驗證與分析:
開啟HxD 16進位編輯器,找到「附加」欄位,選擇「文件工具」,接著,點選〔合併〕。
在合併視窗中按下〔增加〕按鈕,接著按住〔Shift〕鍵將全部的分頁選取,再按一下〔開啟〕按鈕,即可開始合併分頁,如圖7所示。
|
▲圖7 合併分頁。 |
然後,開啟剛剛所合併的分頁進行關鍵字搜尋。
鑑識結果出爐
當一併整合所有的分頁後,開始對記憶體內容進行關鍵字搜尋。可輸入關鍵字「http」找到曾經瀏覽過的網址,如圖8所示。
|
▲圖8 記憶體中找到曾瀏覽過的網址。 |
逐一地搜尋關鍵字「search」,能夠找到Google Search曾搜尋過的關鍵字,如圖9所示。
|
▲圖9 找到Google Search曾經搜尋的關鍵字。 |