手機的功能日益強大,利用雲端技術可將手機或其他設備的檔案進行分享,但是在雲端硬碟提供的便利下,也隱藏著許多的威脅,本文即是針對雲端硬碟進行檔案分析,將可能的資訊顯露出來,協助調查人員進行非法活動調查與證據追蹤。
最後在「/mega.privacy.android.app/databases」資料夾中找到第三個資料庫檔案google_app_measurement_local.db,但其中的內容依然為亂碼。
這些亂碼經過進行編碼的測試後,發現依然不可理解讀取,因此推測為已加密過的資料。
實驗成果統整
經過以上的實驗後可以得知,三個App主要都是利用SQLite來記錄重要的資訊,例如帳戶名稱、檔案名稱等,其中Google Drive的重要資訊都是儲存於Doclist.db檔案中,而OneDrive則是共同儲存於metadata.txt和QTMetadata.db這兩個資料庫檔案內,MEGA則是有三個資料庫檔案。從中發現,不同的雲端硬碟App儲存檔案的位置和數量也不同,因此在針對其他雲端硬碟App進行檔案分析時,必須審慎小心並盡可能地找到所有的資料。
表2 實驗結果統整
除此之外,不同的雲端硬碟App儲存在手機中的資訊也不盡相同,只有帳號名稱等較為重要且基本的資訊,才能夠在本次實驗的三個雲端硬碟App中發現,其他如使用者名稱就沒有在OneDrive中出現;而檔案名稱和檔案屬性則沒有在MEGA內被發現,還有一些較為特殊的資訊,則只有在個別的雲端硬碟App中被發現,例如檔案儲存於手機中的路徑等。
最為特別的是MEGA,因為MEGA將資料庫內的大部分資料加密,在本次實驗中針對MEGA只找到帳號名稱和使用者名稱的資料,其他資料因為加密所以無法得知,表2是本次實驗結果的統整。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>