/platform-tools/」目錄下找到。其功能有透過ADB進入手機或模擬器的Shell模式、PC端與Android機器的檔案傳輸、透過dumpsys指令顯示系統資訊等等,都可以幫助用來管理或開發程式系統。
在Windows作業環境中,為探查硬體設備與系統的執行狀況,會執行「CMD(命令提示字元)」並輸入一系列的DOS指令查看詳細狀況。同樣地,程式開發者為了解Android系統與行動裝置間運行狀況,則可透過API(Application Programming Interface)介面來執行ADB指令操作或管理Android系統。
Cygwin模擬器
Cygwin是許多自由軟體的集合,最初由Cygnus Solutions開發,用於各種版本的Microsoft Windows上,執行類UNIX系統。
其主要目的是透過重新編譯,將POSIX系統(例如Linux、BSD以及其他UNIX系統)上的軟體移植到Windows上。
本篇即是利用Cygwin模擬器將ADB工具從手機備份出來的備份檔(.ab檔)進行解壓縮,再對解壓出來的數位證據進行分析。
Android智慧型手機
這裡所使用的Android智慧型手機,相較於iOS作業系統有蘋果官方所提供的軟體iTunes可以進行iPhone手機的備份,Android作業系統的手機並無專門開發的備份軟體。因此,這裡嘗試透過ADB指令對手機App進行資料備份,進行U通訊App的對話訊息萃取。
遵守相關鑑識原則
當當使用U通訊的某一項功能時,都會產生一筆紀錄。從這些紀錄檔中可以知道使用者曾經於U通訊進行的通訊活動。探究鑑識的重要性,無非是鑑識人員可以從萃取出來的數位跡證內還原事件。
但數位跡證的萃取方式如何才是有效的,或者能保有證據力,皆是鑑識的竅門所在,因此在進行U通訊的數位鑑識分析工作時,除正確使用相關工具進行外,相關工作也必須遵守有關的鑑識原則,說明如下五點:
1. 數位跡證的儲存位置
鑑識人員在知道調查內容的情況下,要確切知道這些數位跡證的儲存路徑,以便萃取出數位跡證。一般來說,App軟體會依檔案性質分類儲存,而這些儲存路徑也是初步簡單判斷紀錄檔內容的依據,如「/data/data/com.cyberlink.U/databases/」路徑下的檔案則可初步判斷為U通訊所產生的檔案。如圖7所示。
|
▲圖7 檢視U通訊儲存路徑。 |
2. 蒐集方法
鑑識人員得視現場狀況來決定蒐集方法,例如行動裝置有無開機的情況。如果是無開機的情形,通常會透過鑑識工具直接做Bit-by-Bit的複製工作,再行分析。
若是在開機的情況下,為避免存取紀錄影響證據力,鑑識人員會選擇凍結存取後再行萃取複製資料。至此,蒐集工作還尚未完成,萃取出的紀錄檔還得傳輸至實驗室,實體傳輸(USB)或網路傳輸(TCP、無線)可就與實驗室的長短距離或事件的急迫性來做選擇。
3. 正確性
鑑識人員萃取的檔案與原始的檔案必須相同,因此在完成前兩項的鑑識作業後,必須再確認數位跡證的完整性。
4. 一致性
為了確保萃取出的數位跡證的可信度,在同樣的鑑識過程或方法下,鑑識的結果要求一樣,都要摒除人為因素,確保萃取結果不會因人而異。
5. 實用性
隨著科技的快速發展,各類型的行動裝置也如雨後春筍般被推展出來。在這波趨勢中,希望鑑識流程或方法能套用各種裝置,否則假如每個裝置就有一種鑑識方法實為複雜,相對地,鑑識人員也會消化不了。
了解鑑識分析流程
透過Android系統的智慧型手機測試U通訊,遵守前述鑑識原則,並利用ADB工具及執行指令來對犯罪者手機做鑑識,如圖8所示可分為 「確定行動裝置」、「執行ADB指令」、「解壓備份檔」、「分析數位跡證」等四個步驟。
|
▲圖8 四步驟的鑑識分析流程。 |
1. 確定行動裝置
嫌犯甲所使用的手機屬於Android系統,在考慮數位跡證的證據力情況下,鑑識人員開啟USB Debug Mode(USB偵錯模式)並執行ADB指令,萃取U通訊的通訊紀錄。
以ASUS_Z00AD為例,要啟動USB偵錯模式,必須先開啟開發人員選項,依序點擊「設定→關於→軟體資訊→版本號碼」,點完七下之後便可開啟。接著,在開發人員選項中勾選USB偵錯模式即可,如圖9所示。
|
▲圖9 ASUS_Z00AD開啟USB偵錯模式流程。 |
2. 執行ADB指令
由ADB指令來將原手機中的U通訊App資料輸出備份到電腦成為一個Ubackup.ab檔,如圖10所示,執行選項1,備份手機程式及資料,並輸入檔名、存放的目錄,且詢問是否備份APK資料,再於手機端做確認是否備份的要求。
|
▲圖10 選擇備份內容、存放檔名、路徑和手機端確認。 |
3. 解壓備份檔
針對所備份的U通訊紀錄檔(Ubackup.ab),利用Cygwin進行解壓縮的動作,請執行以下的步驟。
首先,將檔案複製到Cygwin裡面,然後啟動Cygwin程式,並將手機備份檔(Ubackup.ab)複製到Cygwin資料夾裡的「home\(使用者名稱)\」底下(以圖11為例,Hu是使用者名稱)。
|
▲圖11 複製備份檔。 |
緊接著,運行腳本解壓備份檔。輸入「./unpack.sh」指令,解壓備份檔。
一開始會先要求輸入ab檔的檔名,此時只需輸入檔名即可,不必輸入副檔名,但要注意的是,檔名不得有空格或非英文字元。輸入後,若該ab檔本身有設密碼,請輸入密碼;若沒有就留空,如圖12所示。
|
▲圖12 輸入指令及檔名。 |
隨後就會開始解壓,過程中會看到一大串數字和路徑,完成後的畫面如圖13所示。
|
▲圖13 解壓過程。 |
解壓完成後,可在資料夾底下看到一個名為「apps」的資料夾以及一個與備份檔同檔名的.list檔案,.list檔為此次解壓縮的紀錄檔。點進去「apps」,就會看到所備份出來的U通訊App備份檔com.cyberlink.U。
4. 分析數位跡證
打開com.cyberlink.U資料夾,裡面便是剛剛解壓縮的U通訊App備份檔,發現有五個資料夾,分別為a、db、f、r及sp,如圖14所示。
|
▲圖14 com.cyberlink.U中的各種資料夾。 |
a資料夾內存放U通訊App的apk檔;db資料夾內存放U通訊App的各種資料庫;f資料夾內則存放U通訊App中的各種log檔,用來偵錯用;而r資料夾內有U通訊App中瀏覽網頁時所用到的Cookies檔;sp資料夾內則存放各種XML檔,其提供一個跨平台的機制,用來處理包含各種型態的資料。
由於db資料夾中存放著各式儲存U通訊App資料的資料庫,其包含相片聊天與對話紀錄的資料庫,所以打開db檔做分析,發現其內有barcode_scanner_history、google_analytics_v4、pht.sqlite三個資料庫檔案。