智慧型手機已是人手一支,尤其是Apple iPhone手機更讓一般人趨之若鶩。許多人透過安裝App,以iPhone手機來處理日常的大小事,這其中當然也包括那些貪贓枉法之徒。因此,如何透過iPhone應用程式鑑識出其不法行為,似乎也成了當務之急,本文將詳細介紹相關背景,並完整說明整個鑑識過程。
iPhone備份檔案鑑識工作
了解相關應用程式功能與執行程序後,依用途決定鑑識方向,合理地萃取數位證據,讓證據有效地被鑑識、保有證據力及證據能力,相關鑑識方法如下:
分析Facebook
透過Facebook社交功能,可以分析張員交友關係,篩選出可疑人士。在Facebook檔案「384eb9e62ba50d7f3a21d9224123db62879ef423」內儲存了張員的好友列表。
經由鑑識程序,分析檔案內容,發現資料中有張員的使用時間、帳號名稱和好友列表等訊息。雖然只列出姓氏或名字中其中一字,此部分卻可以當作鎖定特定人物的參考,如圖5所示。
|
▲圖5 使用者好友姓氏列表。 |
為了蒐集及進一步確認與張員交友近日較為密切的關係人,可以利用Facebook「打卡」功能。從檔案「384eb9e62ba50d7f3a21d9224123db62879ef423」內,鑑識人員發現了一個重要線索,打卡紀錄中有一個名為John Lee的人使用Facebook的打卡功能,它在晚上8點45分將張員標記在某家火鍋店,如圖6所示。
|
▲圖6 打卡地點及時間資訊。 |
雖然無法據此得知總持續時間,但這說明了至少在8點45分這個時間點,張員位於這間火鍋店內。一般而言,通常是認識一段時間、關係較密切者才會使用這項功能標記對方,應鎖定John Lee進行後續調查。
分析MSN
與Facebook功能類似的MSN,也有好友群組、訊息傳遞,與上述鑑識程序相同,MSN備份訊息檔案「aef5af219033bc6311cf7f9fbaeb1a4523011c75」中儲存了張員與可疑帳號對話內容及時間,由此可知7點20分張員使用手機上的MSN應用程式邀請對方(可疑帳號)到某火鍋店用餐並討論交易地點,如圖7所示。
|
▲圖7 MSN訊息。 |
對話雖只有一行對話文字,但推測張員可能是留言後就關閉MSN。MSN工具在對方未上線情況下仍能提供留言,會以離線訊息呈現,當對方登入後會立刻收到。
從張員的MSN對話訊息中推論,與對方應是熟識,非第一次聯絡,並且將在名為水龍頭火鍋店見面。有了地理資訊線索後,鑑識方向便往有「適地服務功能」的hiPage搜go!及FourSquare應用程式備份檔案著手。
分析hiPage搜go!和FourSquare
經鑑識人員檢查相關檔案後,在hiPage搜go!的備份檔案「cd93e0006a0b5afd6e3fcd8476495eb26b03d528」內,發現張員利用此應用程式搜尋了一些當地的火鍋店,如圖8所示。而從FourSquare備份紀錄檔案「a690d7769cce8904ca2b67320b107c8fe5f79412」中則發現一筆標記的check-in紀錄,如圖9所示。
|
▲圖8 hiPage搜go!訊息。 |
|
▲圖9 FourSquare的chek-in紀錄。 |
判斷分析結果
從各相關應用程式鑑識分析,可以初步掌握前日張員的動向,如表3的時間軸整理。
表3 時間軸、應用程式與所在地描述
鑑識人員據此鑑識結果,推論張員前日晚間去過表上的地點,且可能於好樂迪KTV進行過毒品交易,也據此鎖定John Lee這名可能的購毒者。
結語
蘋果行動平台的非官方應用程式提供了相當數量的鑑識資訊,這些檔案往往包含授權憑證、時間戳記和地理資訊,可作為鑑識證據採用。這些檔案透過iTunes同步、備份後轉移到其他平台上,經過適當的檢驗方法獲得,因此可說是提供現代手機鑑識技術新的發展方向。
實務上,此技術可應用於當嫌犯為規避責任而將手機破壞,導致無法使用一般商用手機鑑識軟體進行鑑識的狀況。鑑識者可以轉從嫌犯的個人電腦端使用本文介紹的方式萃取iTunes自動備份的檔案,鎖定重要資料。
此外,本文也透過實作,描述了如何萃取非官方應用程式的檔案,使執法人員能在案件裡獲得有效的數位證據,並透過實際案例具體說明從非官方應用程式能夠得到的資訊和鑑識上的證據,讓鑑識人員成功快速地找到重要的相關線索。