本文利用數位鑑識工具針對越獄前與越獄後之iOS裝置進行資料萃取操作,並分析及展現iOS裝置於越獄前後所萃取資料之成果,證實兩者的成果差異,並提供給偵查人員作為跡證輔助情報。
JB.xry則具有八項種類的萃取資料,包括設備、聯絡人、日誌、訊息、位置資訊、WEB、文件以及XRY系統,如圖9所示。
|
▲圖9 JB.xry的資料種類項目。 |
其中由於XRY鑑識工具介面為簡體字,所以本文在文章名詞敘述上稍做調整,以利大家辨識。經由圖8與圖9比較發現,JB.xry所具有的八項資訊種類中已涵蓋了unJB.xry所具備的設備、文件以及XRY系統之三項資訊種類,如表1所示,當中符號○表示該檔案具備此資訊項目,符號X則代表該檔案不具備此資料項目。
表1 JB.xry與unJB.xry所具備之資訊種類比較
各種類資訊中所附有的資訊各有不同,「設備」主要為映像檔來源設備的基本資訊,如型號、作業系統版本等通用資訊,越獄後此項多出了聯網資訊、事件日誌、已安裝應用程式與帳戶等資訊,如圖10所示。
|
▲圖10 設備項目之資訊內容比較。 |
聯網資訊包含裝置連線之網路類型、網路名稱、協定以及連線時間等資訊,事件日誌包含裝置上傳/下載之檔案名稱、使用網路流量、時間等資訊。已安裝應用程式包含為裝置安裝之各項程式的資訊,如名稱、版本以及是否為預設安裝等,而帳戶項目則存有該裝置所登入的使用者帳號資訊,包含帳號所隸屬的應用程式、電子郵件、電話號碼、使用者名稱等資訊。
「文件」則存放圖片、影片、文字檔、壓縮檔、資料庫等資訊,而JB.xry與unJB.xry的各類型檔案數量有所差異,如圖11所示,在unJB.xry中的圖片數量為1,061項,而在JB.xry中的圖片數量為3,827項,其他項目亦各有差異。
|
▲圖11 文件項目之資訊內容比較。 |
在JB.xry檔案中,有許多種類的資訊是unJB.xry檔案中所沒有的,諸如聯絡人、日誌、訊息、位置資訊以及WEB等資訊,這些資訊項目內儲存許多裝置使用者的隱私資訊,如聯絡人項目相當於備份檔案中的電話簿,而日誌項目則為裝置內的備忘錄、行事曆與提醒事項的內容資訊,訊息項目為裝置所存的簡訊內容。
至於位置資訊,為裝置運用Apple Maps所搜尋、導航的地理位置紀錄,WEB則是裝置的網頁瀏覽紀錄以及搜尋的關鍵字等,如圖12所示,便是裝置的網頁瀏覽紀錄及相關詳細資訊。
|
▲圖12 iPad裝置的網頁瀏覽詳細資料。 |
由上述比較的結果得知,JB.xry檔案與unJB.xry檔案不單有資訊項目多寡的差異,於相同資訊項目上這兩個檔案所包含的內容也有不同,在設備資訊、文件資訊項目中可看出,JB.xry檔案所具備的內容,相當程度優於unJB.xry檔案。
由此可見,不僅JB.xry在資訊項目種類數量的橫向豐富度上優於unJB.xry,在JB.xry檔案與unJB.xry檔案共同具備的資訊項目上,即設備項目、文件項目以及XRY系統項目上,具有資料量縱向深掘詳細程度的區別,亦是JB.xry優於unJB.xry。
而unJB.xry源自於未越獄之iOS 9.0.2版本的iPad Air 2,JB.xry則來自於已越獄的同一部iPad Air 2,可以發現透過越獄程序,不僅在使用者運用iPad裝置上得以脫離原廠限制框架,於數位鑑識工具的運用上,亦可獲得截然不同的萃取結果。
在JB.xry檔案與unJB.xry檔案容量區區71,577KB的差異之下,在所萃取出的邏輯映像檔案內容方面,具有足以左右情資掌握和案情發展程度的差別,依本實驗來說,JB.xry檔案中所具備而unJB.xry不具有的跡證內容包含聯絡人、日誌、訊息、位置資訊以及WEB資訊等五項,當中聯絡人資訊可窺探此裝置持有者的人際脈絡、聯繫對象,從中逐步過濾與接觸,能有極大機率取得裝置持有者的行蹤、喜好與經歷等資訊。
其他如日誌所內含的備忘錄、行事曆等資訊更能夠知其所規劃的行程與即將出現的地點,訊息資訊則可與聯絡人資訊相輔相成,有助於聯絡裝置電話簿內所存的名單。另外,位置資訊可得知裝置持有者所經之地,甚至進一步推測其欲往何處,而WEB資訊更可透過其偏好瀏覽的網頁,知其喜好或正在找尋的人、事、物等資訊。
情境模擬
A君為當地小有名氣的私家偵探,幾日前B君稱C君欠其巨額賭債已失蹤數周,B君至C君租屋處尋訪,早已人去樓空不見其人,而向其房東及鄰居等四處打探C君下落,僅得原來C君早就準備潛逃躲債,已至附近當鋪典當所有可變現之財務,不知往何處逃跑去了,B君束手無策不知從何找起,但又礙於C君所欠的債款高達上千萬,金額非同小可,故B君只得提供相片並委託A君代為尋找,望能有一絲希望尋得C君並討回債款。
A君接下委託後便往當鋪打探C君所典當物品的消息,得知C君除典當一些金飾之外,亦將一部Mac電腦、一部Xbox以及兩部iPad Air 2等非必須用到的3C用品一同典當。