行動App 數位鑑識 雲端硬碟 資料共享

行動鑑識雲端硬碟跡證 還原App遺留於手機資料

手機的功能日益強大,利用雲端技術可將手機或其他設備的檔案進行分享,但是在雲端硬碟提供的便利下,也隱藏著許多的威脅,本文即是針對雲端硬碟進行檔案分析,將可能的資訊顯露出來,協助調查人員進行非法活動調查與證據追蹤。

使用此時間戳的原因是各個地方都有其時區,這將會造成電腦內部時間的錯亂,因此用Unix時間戳,無論何時何地,都可以讓所有的電腦都有一個固定的時間,這對於電腦在追蹤或排序資料時間有相當大的幫助,尤其是分散式系統或是伺服器與需求端的時間回應。Epoch Unix Time Stamp Converter是一個線上的時間轉換工具,如圖1所示,可以免費且快速地將Unix時間轉成一般人使用的時間表示法,同時亦可轉換回去,相當方便。


▲圖1 Epoch Unix Time Stamp Converter。

進行鑑識與分析

以下的鑑識與分析,將分成實驗流程與檔案分析兩部分來進行解說。

實驗流程

本次實驗的手機設備為ASUS_Z00AD,Android版本為5.0,而測試的軟體總共有三款,分別是Google Drive、OneDrive和MEGA等較為有名的雲端硬碟App,三款App的版本如表1所示。首先安裝這三個App到手機裡,並分別創建帳戶後開始使用,將檔案上傳至這些雲端硬碟帳戶內,即可以進行檔案分析。

表1 各雲端硬碟App的版本

使用rootbrowser這個App來查看目標App儲存資料的位置,可以發現Google雲端硬碟的儲存位置在「data/data/com.google.android.apps.docs」。到該路徑資料夾後,開啟屬性,如圖2所示將權限全部開通,然後把整個資料夾複製到SD卡裡。再連接電腦,就能夠從SD卡中將資料夾傳輸到電腦中。


▲圖2 設定資料夾權限。

OneDrive的資料夾位置在「data/data/com.microsoft.skydrive」,而MEGA資料夾的儲存路徑則是「data/data/mega.privacy.android.app」。找到資料夾位置後,只須重複上述的步驟,就可以將所有的資料移進電腦裡,並且在電腦中進行鑑識。

檔案分析

接下來,分別針對Google Drive、OneDrive、MEGA進行檔案分析作業。

Google Drive

首先,從Google Drive資料夾中發現有一個資料庫檔案Doclist.db,在這個資料庫檔案裡包含許多的使用者資訊,例如在CollectionView資料表中含有帳號的名稱、使用者名稱以及可能是帳號創建的時間或是最後修改時間有關的資訊(圖3),圖4所示則是將圖3中的Unix時間戳轉換後的結果。


▲圖3 資料表CollectionView含有帳戶名稱。


▲圖4 時間戳轉換結果。

之後,在DocumentView資料表中找到了檔案的名稱、檔案所屬的帳戶名稱、檔案的擁有者名稱以及檔案的創建時間,或是最後修改時間等等資訊,如圖5所示。


▲圖5 資料表DocumentView含有檔案名稱和擁有者名稱等。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!