數位鑑識 行動 安全 跡證 鑑識

從iOS社交App 找出互動數位跡證

社交App(Social Networking App)是在App商店中被大家搜尋下載的熱門軟體。隨著行動網路的發展,已越來越多人選擇使用社交App來進行通訊,然而在資訊分享變得方便之餘,但卻有非法人士利用通訊軟體來進行非法活動,將通訊軟體作為犯罪訊息的傳遞工具,因此當有通訊犯罪的情事發生時,其通訊紀錄就會成為重要的數位跡證。
如表1所示,在確定備份檔的位置後,即透過iTools來查看iTunes備份檔的內容,而iTools的功能讓使用者可以直覺化管理iDevice,以模擬裝置連結的方式進行管理備份檔案。

表1 iTunes備份檔案儲存路徑

接著介紹iDevice(iPhone、iPad 2 、iPod touch)備份檔中社交App的訊息跡證。以下分別說明LINE、WeChat、KakaoTalk三個App各自的對應方法。

LINE

先說明iPhone的部分。以圖片及影音來說,在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments/」路徑下會發現一個資料夾,名為「/u12076474020f65a314c04a05e9ab1c4b」。在這個資料夾下,有.mp4檔案格式的聲音檔、.jpg檔案格式的圖片,皆是對話過程中所傳送的訊息。

而對話紀錄,到「/var/mobile/Applications/jp.naver.line/Documents」路徑下,就可看到以talk命名的sqlite檔,可以使用sqlitebrowser將其打開。sqlitebrowser是可以查看sqlite檔內容的檢視器。

talk.sqlite儲存了許多對話表格,每一個表格內皆儲存不同的資料,分別說明如下:

.ZCHAT、Z_1MEMBERS
使用者在LINE中所開啟的對話視窗會被記錄至ZCHAT表格內,而對話者的資訊是記錄在Z_1MEMBERS中。

如圖6所示,表格Z_1MEMBERS內欄位Z_1CHATS的數值,說明了對話者在哪個對話視窗進行活動,如Z-1CHATS的值是2,對照表格ZCHAT的Z_PK值,就知道對話者是在第2個對話視窗內與大家進行對話。知道這樣關係後,就明白對話視窗內有哪些對話者參與其中。


▲圖6 Z_1MEMBERS與ZCHAT的表格內容。

.ZGROUP、Z_3MEMBERS
在LINE的通訊功能中,使用者可設立對話群組,如研究所討論群組、籃球討論群組,在這個群組內的人就可以在同一對話視窗中進行討論。表格ZGROUP則記錄使用者加入了哪些群組,而表格Z_3MEMBERS說明此群組內有幾名的組員及其個人資訊,如圖7所示。


▲圖7 ZGROUP與Z_3MEMBERS的表格內容。

.ZUSER
LINE在社群交友方面擁有很好的能力,當用戶註冊為LINE的使用者時,它會自動地搜尋使用者電話簿內有誰也正在使用LINE,並列出供使用者參考,而表格ZUSER便是記錄這些內容。

.ZMESSAGE
如圖8所示,在對話過程中,會有發話者、對話時間、對話的類型(視訊、語音對講)及對話內容,這些紀錄資訊皆在ZMESSAGE內。紀錄的時間值中,LINE則是屬於13位的UNIX時間格式,經時間公式轉換後就能知道對話訊息是何時傳送,如圖9所示。


▲圖8 ZMESSAGE的表格內容。

▲圖9 LINE的時間格式轉換說明。

欄位ZCHAT數值代表訊息是在哪一個對話視窗傳送,而ZSENDER和ZMESSAGETYPE則說明訊息是由誰發出及接受。欄位ZTEXT則是使用者對話的內容,「影音」、「聲音訊息」或「圖片」則是對話過程中傳送的媒體檔案。圖片及聲音訊息會被儲存在設備內,但影片部分若使用者無主動選擇儲存,則LINE不會主動下載儲存。

至於使用者資料,在「/var/mobile/Applications/jp.naver.line/Library/Preferences/」下的jp.naver.line.plist檔案,經plist Editor檢視後,可以搜尋出使用者在LINE中所使用的ID帳號及註冊時所用的電話號碼。

若使用的iDevice為iPad 2或iPod touch,則與iPhone相同,在iPad 2及iPod touch上安裝同樣的版本LINE及操作相同的步驟時,並未發現LINE的對話紀錄、媒體檔案有何差異。

WeChat

先說明iPhone的部分。就以圖片與影音而言,在「 /var/mobile/Applications/com.tencent.xin/Documents/」路徑下有以Hash值命名的資料夾,如圖10所示,這些資料夾內分別存放了使用者通訊時所傳送的影片、圖片及音訊。WeChat的語音是屬於.aud的聲音格式,影片為.mp4格式,圖片則是JFIF格式。


▲圖10 WeChat備份檔中Audio、Video及Img的紀錄情形。

至於對話紀錄,在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」路徑下的MM.sqlite,則是記錄用戶通訊紀錄的資料庫,分別說明如下:

.Friend_Ext與Friend
表格Friend列出使用者在WeChat上的朋友清單,而Friend_Ext則更詳細說明了使用者社群朋友的個人資訊,如WeChat註冊的ID、居住地及暱稱。

.sqlite_sequence
使用者在WeChat中與誰對話,及對話了幾則訊息,都清楚地被記錄至此表格內。

.以Chat_開頭的表格
WeChat會為每一位對話者產生表格,且表格名稱是WeChat依個人去做命名,所以每個對話視窗都有屬於自己的表格紀錄。特別的是,在群組對話中屬於群組的表格,只會記錄使用者在WeChat上所發表過的文字,其他人所傳送的訊息不會再記錄。在圖11中,MM.sqlite的MesSvrID顯示了兩人對話的順序,但可以發現此順序並不連貫。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!