智慧型手機已是人手一支,尤其是Apple iPhone手機更讓一般人趨之若鶩。許多人透過安裝App,以iPhone手機來處理日常的大小事,這其中當然也包括那些貪贓枉法之徒。因此,如何透過iPhone應用程式鑑識出其不法行為,似乎也成了當務之急,本文將詳細介紹相關背景,並完整說明整個鑑識過程。
備份檔案之分析
備份後的檔案會依照前述備份路徑儲存在電腦上。本文使用的鑑識電腦端作業系統為Windows XP,從「\Documents and Settings\Administrator\Application Data\Apple Computer\MobileSync\Backup」的路徑可以找到「Backup」資料夾,如圖1所示。
|
▲圖1 儲存備份檔案的「Backup」資料夾。 |
「Backup」資料夾打開後,得到上百個40位元的十六進位檔案,如圖2所示。
|
▲圖2 「Backup」資料夾內的十六進位檔。 |
這些檔案經由iTunes在執行備份進行雜湊函數(Hash Function)加密時賦予特殊編碼,每一個都代表原始手機上程式的資料備份檔,對於原廠新開機之手機約80幾個到100多個不等的十六進位檔數目,其中數目會因手機機型而不同。
由於這些十六進位檔案都不顯示副檔名,且皆是由抽象的數字和英文字母(0?9、a?z)組成,難以得知哪個檔案是代表非官方應用程式之十六進位檔,所以須要進行檔案辨識作業。
先將所有的十六進位檔以Notepad++的Hex-Editor打開,檢視檔案內容開頭的副檔名字串特徵和文中的關鍵字。例如,若要尋找Facebook的非官方應用程式,則尋找內容中出現「Facebook」或「FB」字眼者。如圖3所示,可發現內含有FBMessaging、FBLastLoginEmail等關鍵字。
|
▲圖3 使用Notepad++的Hex-Editor打開Facebook檔案。 |
確認關鍵字後,將檔案依其副檔名使用相對應的工具(.plist檔使用plist browser開啟,SQLite檔使用SQLite browser開啟)開啟,開啟後是XML語法構成的資料,可以對此內容進行鑑識,辨識出Name、Date或是明顯的中文字等等,找出顯示時間、人名、帳號或地點的訊息,如圖4所示。
|
▲圖4 使用plist browser打開.plist檔。 |
案例分析
張員有不良前科,經常流連網咖,並在網路上進行不法交易。深夜,執法人員進行網咖臨檢勤務,張員心生恐懼,企圖逃走,並將手機摔損,避免遭到證據的存留蒐證。
在盤查下,張員坦承吸毒,並陪同回住處,扣查電腦,擴大追查相關毒品交易人員。鑑識人員從iTunes備份檔案目錄找到檔案,並立刻進行映像檔備份,期望從該備份中找出蛛絲馬跡。備份完成以後,鑑識人員迅速地篩選出手機備份檔中重要的部分,也注意到張員在他的iPhone上安裝了一些非官方應用程式,包括Facebook(社群網路平台)、Window Live Messenger(溝通工具)、hiPage搜go!(台灣地理資訊搜尋工具)及FourSquare(地理定位遊戲)等等。
鑑識人員針對這些非官方應用程式進行鑑識,並從中找出一些資訊。首先,必須了解安裝在張員iPhone上的非官方應用程式相關背景,了解其資訊執行過程,如資訊儲存格式、路徑等,再透過鑑識軟體萃取關鍵數位證據,拼構出犯罪。
應用程式介紹
以下針對此案例張員所使用應用軟體相關功能略作介紹:
Facebook
在通訊功能方面,App Store提供Facebook社群網路應用程式,供用戶使用手機連線上網至Facebook,瀏覽訊息、更新動態消息或是與人進行線上立即傳訊。
至於地理定位資訊標示功能部分,Facebook有一個社交功能名為「打卡」,指在Facebook上發布自己和他人當前時間點所在的位置,可以地名或地標表示,打卡資訊可以顯示出當事人所在位置。
MSN
MSN是常用的社交工具,使用者透過遠端連線,可進行線上聊天或離線訊息留言。另也提供訊息儲存選擇,依帳號方式分類儲存。
hiPage搜go!
此應用程式提供適地性服務,針對台灣地區,以使用者所在地為圓心搜尋附近各種公司行號、招牌名稱、景點、休閒娛樂、食衣住行等資訊,還具備所在地和標的物的距離估計及GPS導航。
FourSquare
FourSquare是具有地理資訊的遊憩性質程式,可以標記使用者所在地點,並可發布到Facebook等社群網路上(稱為check-in),或者查詢所在地附近是不是也有註冊FourSquare的好友存在。