![]()
等。而WeChat的通訊時間是屬於10位UNIX的時間格式。
 |
| ▲圖11 在MM.sqlite中,兩人的對話紀錄。 |
至於使用者資料,以plist Editor打開「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/」路徑下的mmsetting.archive,便可以找到使用者在WeChat中所使用的ID帳號及註冊的手機號碼。
若使用的是iPad 2、iPod touch,在iPad 2及iPod touch上安裝與iPhone同樣版本的WeChat時,其操作步驟完全相同。
KakaoTalk
如果使用的是iPhone,KaokoTalk並不會將使用者通訊時所傳輸的照片、影片、音訊檔儲存在iTunes備份檔內。
至於對話紀錄,在「/var/mobile/Applications/com.iwilab.KakaoTalk/Library/PrivateDocuments」路徑下可以發現副檔名為sqlite資料檔案,可使用sqlitebrowser開啟Talk.sqlite,其內容為使用者在KakaoTalk上的對話,相關檔案說明如下:
˙ ZCHAT與Z-1MEMBERS
表格ZCHAT記錄使用者在KakaoTalk上開設了幾個對話視窗,而這些對話視窗皆有一組唯一的ID值。表格Z_1MEMBERS則說明每個對話視窗中有哪些對話者。
˙ ZUSER
表格ZUSER中記錄了使用者KaKaoTalk社群的資訊。在表格資訊中,明白地指出與使用者進行對話的朋友是在哪個對話視窗及使用什麼ID與暱稱,這樣的好處是能夠明白使用者在KaKaoTalk上的交友狀態。
˙ ZMESSAGE
使用者在KakaoTalk上進行的對話會記錄在表格ZMESSAGE內,有文字訊息、語音、地理位置。如圖12所示,欄位Z_ENT的數值在表格中Z_PRIMARYKEY可以找到說明,例如Z_ENT值為33,即代表文字訊息,數值29即是相片。
比較特別的是,音訊檔及影片檔可以透過KakaoTalk的伺服端下載和觀看,而這些檔案的網址會顯示在ZMESSAGE中,關於這一點,KakaoTalk與LINE和WeChat將檔案儲存於備份檔的做法有所不同,它是將檔案存放在遠端的空間內。
 |
| ▲圖12 KakaoTalk中訊息的代號。 |
而使用者資料,以plist Editor檢視「/var/mobile/Applications/com.iwilab.KakaoTalk/Library/Preferences/」路徑下的com.iwilab.KakaoTalk.plist檔,可以搜尋到使用者註冊的電話號碼。
如果使用的是iPad 2及iPod touch,那麼安裝與iPhone相同版本的KakaoTalk及操作相同的步驟時,其對話紀錄、媒體檔案都是一樣的。
從上述的結果中,可以得知各社交App處理媒體檔案、對話紀錄及使用者訊息皆有不同。LINE在媒體檔案中,只有對方所傳送的影音檔才會由iTunes備份至電腦中,而自己所傳送的影音則會儲存在設備內,不會經由iTunes備份至電腦。
WeChat的影音檔則會由iTunes備份至電腦中,另外需要進一步說明的是,WeChat的訊息紀錄MM.sqlite資料庫中以Chat_開頭後接一串Hash值命名的表格名稱,同樣用於語音檔及圖片檔的資料夾命名,知道這樣的命名規則後,可幫助鑑識人員在蒐集數位跡證時 明瞭訊息是由誰產生,進而還原對話的歷史過程。
KakaoTalk的iTunes備份檔中不會儲存傳輸時的影音檔及相片,不過從Talk.sqlite中的表格ZMESSAGE發現,在傳輸影音相關檔案時,KakaoTalk會產生一則網址訊息,透過瀏覽器輸入這一段網址後,KakaoTalk伺服端會自動撥放通訊時的影音檔案。
這些影音檔及紀錄檔在iTunes備份檔內是沒有副檔名,所以若要正確地開啟這些檔案就必須確認檔案格式,透過16進位編輯器WinHex打開iTunes的備份檔後,會發現開啟的檔案中,表頭將帶有檔名特徵的字串。這些字串就是檔案的格式,這裡將其整理成表2。
表2 iTunes備份檔的特徵字串
最後,社交App備份檔在iDevice間並沒有差異,對話記錄的方式、儲存圖檔與語音檔路徑都是一樣。所以當鑑識人員在未知iTunes備份檔是由iPhone、iPad 2或iPod touch所產生的情況下,都可以用同樣的鑑識步驟來萃取數位跡證。