目前使用率極高的社群網站Facebook,其附屬的聊天軟體Facebook Messenger App近來常被作為犯罪的通訊工具,對此本文將針對該App以Android 4.0以上版本的手機採用adb模式及backup指令進行萃取,並將萃取之資料透過SQlite軟體加以分析及重組,讓Facebook Messenger App鑑識結果清楚呈現並能快速分析。
由於對方所傳的多媒體訊息採用.cnt方式儲存於cache資料夾內,因此先將資料夾複製出來,針對其audio和image做cnt搜尋並排序,如圖11所示,針對attachments(圖10該欄位已重新命名為media_index)顯示其檔案大小或格式等分別比對後,進而找出對方傳送的多媒體訊息。
|
▲圖11 由image及audio資料夾搜尋結果。 |
證據推論
綜上所述,可由David的手機中得知,David曾經利用該手機的Facebook Messenger App,使用暗語聯絡,並將毒品賣給丹尼爾所用,而非David所供稱僅為自己所用之謊言,而鑑識人員即可針對contacts_db2分析,進而找出丹尼爾的相關資料,以利通知到案或其他方式加以查緝,且分析結果亦可證實嫌疑人David有販賣毒品之非法情事。
結語
Facebook Messenger App是Facebook新開發的App程式,而犯罪者可能將其作為犯罪工具並執行非法行為。本文主要是透過SQLite等相關資料庫軟體,讓鑑識的結果得以清楚呈現,也有助於加快鑑識速度。
另於本文中,僅針對與調查案件較為相關的訊息及欄位進行資料分析,實際上SQLite可依不同需求加以變化,例如thread_user的profile_pic_square會有對方的相片,而與messages表格結合時,其key值就必須做文字縮減的處理才有辦法結合,或是在contacts的資料庫中找出對應的資料,甚至是對方註冊的手機,均可透過表格結合的方式,將結果快速呈現。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>