Skype 證據 資安 稽核 鑑識

簡易追蹤iOS裝置 Skype文字對話紀錄

Skype整合MSN之後,使用者大幅增加,使其重要性上升,且因為Skype推出手機App版本,讓留存在手機中的證據更為重要。對此,本文將著重於Skype軟體的介紹,以及利用鑑識工具在iDevice上進行簡易的通訊內容鑑識,並以案例說明當非法行為發生時,Skype可能會留有什麼證據在手機記憶體中,並釐清這些證據與非法者的關係,以方便鑑識人員的調查。
隨著科技的進步,通訊越來越發達,而網路電話(VoIP)的出現,讓通訊更為方便與即時。現在的手機、平板以及電腦都具備相關方便易用的通訊App,其中Skype便是一個相當具代表性的軟體。

Skpye是目前主流的網路影音通訊軟體之一,以P2P點對點傳輸技術的Skype保證具備相當的傳輸速率,同時也支援傳統電話系統的通訊功能。近年,因為智慧型手機的興起,Skpye也從電腦跨足手機App行列,加上其特有的加值Skpye點數而打給市話及手機的功能,因此擁護者也不在少數。

顧能(Gartner)發布2013年最新統計,今年第3季全球手機銷售量達4億2800萬支,其中智慧型手機的銷售占整體手機銷量的39.6%,較去年同季大幅成長46.9%、顯見智慧手機在人們的生活中已經扮演越來越重要的角色。

隨著智慧型手機的普及化、手機裡的應用App軟體也隨之熱門起來,其中社交App一直是App Store裡面的下載熱門排行榜。然而,通訊社交App之所以能夠受歡迎的原因,不外乎其取代傳統手機撥話給對方的溝通方式,不同於年輕一代的溝通方式,用戶只需在通訊介面中傳輸對話,其方式可以是打字或錄音,且不限於單人對話,也可開啟群組對話,更重要的是免費對話,這樣新穎的溝通模式正在逐漸改變社會大眾對於溝通的使用習慣。

除了LINE、WhatsApp原有的手機App外,Skype也是大多數人使用的通訊軟體之一,因此當非法者透過Skype進行溝通時,這些對話紀錄將成為有用的證據。雖然無法直接針對語音對話進行數位鑑識,但還是可以透過簡易的鑑識,獲得使用者的Skype聊天紀錄,證實使用者曾經透過Skype進行溝通。

接著介紹Skype的發展簡史,概略說明iPhone的鑑識方式,並介紹幾款鑑識相關工具程式。

Skype發展緣由

Skype由瑞典斯德哥爾摩人Niklas Zennstrom於2003年發明,其通訊的技術是建立在P2P技術上。藉由P2P技術,使用VoIP(Voice over IP)的用戶端可以透過Skype在網路上進行視訊、語音和文本的傳輸。VoIP是透過IP網路傳輸語音資料的技術。

以IP協定傳送語音資料時,Skype會先將語音資料切割成封包在網路上傳送,將原為類比的聲音訊號以「數據封包(Data Packet)」的型式在IP數據網路(IP Network)上做即時傳遞。換句話說,VoIP系統就是將原為聲音的類比訊號數位化後,透過由網路上各相關通訊協定執行即時通訊功能。VoIP技術可將資料封包在網路上傳遞過程中所發生的失真、回音及資料遺失做適當修補功能,使其原音重現。

2011年10月,Skype正式被微軟(Microsoft)收購,成為微軟的一個獨立部門。在台灣Skype是與網路家庭(PChome Online)合作,推出的Skype稱為PChome & Skype。Skype近年也整合了微軟的MSN通訊軟體的用戶,身為最早推出的視訊通話及跨國的電話撥號的PC軟體,雖然不是最早推出手機通訊的社交軟體、但是在舊有MSN用戶與Skype用戶的加總下、仍然具備一定數量的死忠使用者。

Skype目前支援多種智慧型手機裝置,如Windows Phone、Android系統、iOS系統以及Symbian系統等,可以傳送文字訊息、撥打國際網路電話,還支援免費的語音視訊電話。因此許多公司選擇Skype來進行內部的視訊會議,它目前不僅支援iPhone、iPod touch的Skype版本,還有特別為iPad製作的Skype for iPad版本。

由於Skype已經整合Microsoft MSN帳號、因此可選擇以Skype或MSN帳號登入,如果沒有帳號則可以建立帳號,如圖1所示。這種整合的方式無疑提高了使用者的使用率,因此相較於LINE、WhatsApp等通訊軟體,Skype也逐漸占有重要地位。


▲圖1 Skype使用介面。

iPhone鑑識簡介

iPhone鑑識可以從鑑識方法以及Apple iTunes與iPhone備份檔案兩方面來加以探討。

可用的鑑識方法

iPhone的鑑識方法,可分為實體萃取與邏輯萃取兩種方式。

實體萃取
若鑑識人員要對iPhone手機進行實體萃取,必須要在手機中安裝鑑識工具,並透過鑑識工具將手機內部資訊以位元複製或製作映像檔的方式萃取出來,再以傳統的數位鑑識方式分析。

然而,由於iPhone手機的獨特性,鑑識人員若要順利安裝鑑識軟體,必須先執行「越獄(JailBreak,JB)」的程序。這是一種針對Apple公司開發的iOS作業系統所進行破解的技術程序,在經過JB的程序後,使用者便能得到最高的權限,並解除iPhone手機本身的一些功能限制,繼而能順利安裝並執行鑑識工具軟體。

其次,透過JB的方法所執行安裝的鑑識工具,在安裝完成後必須重新開機,此舉動或多或少會造成內部資訊些微的更動,儘管這些更動可能是無害的,但以數位鑑識的角度出發便有討論的空間。

實體萃取的優勢是,可以將整個使用者分區的資料全部以位元複製或映像檔的方式萃取,其中之內容可能包含已刪除但未被覆蓋的各類重要資訊,但因上述的兩種情形,使得實體萃取的方法在實作上還是會對手機證物本身造成一定程度的影響。

邏輯萃取
所謂的邏輯萃取,即是透過與作業系統的互動而將iPhone內可以見到的內容擷取出來。換句話說,必須透過直接操作iPhone的方式在iPhone內搜尋所欲取得的數位證據。在邏輯萃取的情況下,無法如實體萃取一般取得已刪除的檔案。

此外,若所查獲的iPhone手機已經反鑑識技術加密或損毀,則也無法透過邏輯萃取的方式將資料萃取出來。另一個顯而易見的問題是,直接操作的方式有很大的可能會對於iPhone手機本身內容造成更動,人為的錯誤操作也會導致iPhone手機證物的證明力遭到質疑。

Apple iTunes與iPhone備份檔案

Apple iTunes是Apple公司針對其出產之系列產品所設計的電腦端應用軟體,可視為是該公司產品與個人電腦連接的驅動程式與管理平台,除了有完整的影音播放器功能外,同時還具備同步、備份、燒錄、共享與瀏覽App Store的功能。

在iPhone手機的同步功能中,可同步的資料包含音樂、影片、相片、應用程式、通訊錄、行事?、電子郵件帳戶以及書籤等,上述資料可直接於主畫面的同步設定中做管理。另外,當iTunes與iPhone連接時,可於畫面上直接得知iPhone的設備摘要資訊,如設備名稱、容量、版本及序號等,並會自動檢測作業系統的版本,若有更新版本或想恢復初始設定,可直接點選更新或回復,如圖2所示。


▲圖2 iPhone手機連接iTunes主畫面資訊。

通常,一般的使用者在使用Apple iTunes時為了讓電腦與iPhone的內容能夠保持一致性,均會設定使電腦中的內容能夠自動與手機同步處理。要執行備份動作時,僅需在圖2的左邊窗格找到iPhone手機,並於其上方按下滑鼠右鍵後點選【備份】選項,即能完成iPhone的手機備份動作。

鑑識相關工具介紹

以下分別介紹兩款與鑑識相關的工具程式,也就是iTools管理工具和SkypeLogView。

iTools

使用iOS系統相關設備(iPhone、iPad、iPod touch等)的使用者都知道Apple產品有一個共通的缺點,就是iTunes在使用上有一定的限制,因此iTools便是非官方第三人所開發出來、方便化管理iOS系統相關設備的一個人性化的工具,其功能讓使用者可以用傳統「拖、拉」的方式來管理檔案,亦可針對備份進行管理,如圖3所示。


▲圖3 iTools介面。

SkypeLogView

SkypeLogView是一款專為Skype設計的程式,能夠讀取Skype所創建的記錄日誌文件,並且能夠顯示指定的Skype帳戶所打出打入的電話、聊天訊息和文件傳輸細節。

從Skype找出留存證據

數位鑑識並不一定要透過鑑識人員才能達成,只要具備數位鑑識觀念,即使是一般人仍能進行,因此以下介紹如何利用iPhone進行簡易的鑑識,步驟如下:

    1. 利用iTunes將iPhone備份檔萃取出來。
    2. 透過iTools分析iTunes備份檔案,找出Skype對話紀錄檔案。
    3. 將Skype對話紀錄檔案載入SkypeLogView分析。
透過這三個步驟即能快速且簡易地將檔案萃取出來。本文選擇Skype(版本4.13.427)為通訊軟體,實驗的iDevice為iPod touch 4,安裝的iOS版本為6.1.3。

一般使用Apple iTunes備份iDevice的資料時,電腦為了與iDevice保持一致性,均會設定讓電腦中的內容自動地與手機做同步處理,而透過Apple iTunes所執行的備份,其備份檔案會因作業系統不同而儲存在電腦中的不同路徑,相關路徑資料經整理後如表1所示。

表1 各個作業系統的iTunes備份位置


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!