當犯罪嫌疑人逃逸無蹤、關鍵證物遭到刻意丟棄隱匿,或關鍵電子跡證可能已遭犯罪嫌疑人銷毀滅證之時,鑑識人員該如何化不可能為可能,保全證物並找出重要跡證。請一同化身為鑑識人員,進行抽絲剝繭,深入案情。
那究竟何時會執行完畢呢?當證物映像檔大小趨近於證物手機的內部儲存空間大小時,應該就快完成了。而當dd指令執行完畢,最後會顯示平均速率、耗費時間、檔案大小等資訊。如圖11所示,證物映像檔大小為14.6GB,平均速率為每秒2.6MB,耗時超過一個半小時之久。
 |
| ▲圖11 手機證物映像檔製作完畢。 |
掛載手機證物映像 提取重要跡證
鑑識人員R對製作完成的證物映像檔進行掛載,以驗證是否製作成功。驗證結果可以順利進行掛載,看到裡頭相關內容。如圖12中被框選部分所示,名為「EnMicroMsg.db」的檔案便是WeChat在Android平台的資料庫檔案名稱。
 |
| ▲圖12 在證物映像檔中找到WeChat資料庫。 |
經破解此一加密的資料庫檔案後,果然找到許多L與情報買方的聊天對話紀錄,此為追查L下落及軍機流向的重要線索。
查找是否有機敏資料 進行損害控管
R進一步對手機證物映像檔進行分析,順利找到與案情相關的機敏資料,如圖13及圖14所示。專案小組據此即可掌握L所持有的機敏資料,進行相關損害控管。另一方面,幹員亦在L喬裝欲潛逃出境之際,順利將他逮捕。
 |
| ▲圖13 發現重要機敏資料。 |
 |
| ▲圖14 找到重要機敏資料。 |
結語
鑑識人員在證物手機呈現不穩定的情況下,果決採取物理提取以製作證物映像檔的方式,順利保全了證物內容。之後的取證分析工作便是以所製作出的證物映像檔為對象,成功地找到涉案人及聊天內容、已遭外洩的機敏資料等等重要跡證。
由此可知,在關鍵的時刻,必須做出正確判斷,不輕言放棄,才能夠掌握取證的契機。最後,終於順利提取跡證得到重要的破案線索,並將犯嫌繩之以法。
<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>