行動裝置成為非法活動的工具及媒介,因此行動鑑識受到大家重視,儲存在於手機中的資料,若是能透過行動裝置的鑑識軟體加以分析和利用,將能夠讓證據更具可信度,如何取得這些關鍵證據,已變成現今鑑識人員的一大課題。
數位證據
數位證據(Digital Evidence)又稱為電子證據,是物理證據的一種。與一般的彈痕、血跡等傳統證據不同,是以電磁紀錄的方式存在於電子或磁性設備內,並且以數位形態儲存或傳輸。
在法庭上可作為證明犯罪的電子資料,包括多媒體影像、數位文字、通話紀錄、手機簡訊、瀏覽過的網址、電子郵件等等,都算是數位證據的範疇。它們具有以下幾個特性:
- 易於竄改與刪除,需要相關證據證明其完整性。
- 可無限複製,不易證實其來源。
- 不易個化製作人,原作者不易確定,無DNA、指紋之類證據的唯一性特質。
- 無法以感官知覺理解,需透過電腦或相關電子設備才可以呈現。
- 蒐證困難,其蒐集或儲存需要具備專業技術及特定工具,合法取證不易。
由此可知,數位證據的性質十分特殊,因此數位證據在採證的過程,必須符合正確的資料採證程序,才能保證數位證據的完整性,於法庭上才具足夠的證明力與證據能力提供審判之依據。
手機中儲存的資料,大多以電磁紀錄的方式存在,亦即所謂的數位證據。其同樣具有上述數位證據的特性,手機若成為犯罪的工具,其行動鑑識目的在於採取相關資訊。而可能的犯罪證據標的包括通訊錄、SIM卡記憶體資訊(Subscriber Identity Module)、手機記憶體資訊、通話紀錄、上網紀錄、簡訊紀錄,以及照片、影片、聲音等多媒體檔案和通訊軟體紀錄(WhatsApp、LINE等)。
行動鑑識
行動鑑識是數位鑑識的其中一環,泛指所有對於行動裝置上數位資料進行保存、識別、抽取、記載及解讀的一系列行為。
鑑識研究專家Eoghan Casey根據事件發生到調查結果報告,將數位鑑識程序定義為圖2所示的三個步驟,廣泛運用於針對電腦與行動裝置的鑑識。
|
▲圖2 Eoghan Casey數位鑑識程序。(資料來源: http://en.wikipedia.
org/wiki/Digital_forensic_process) |
接著,詳細說明Eoghan Casey數位鑑識程序的各個階段:
1. 蒐集(Acquisition)
將取得的數位資料透過防寫設備進行複製的過程。複製數位資料的製作是利用複製硬碟或是軟體影像工具,例如DCFLdd、IXimager、Guymager、TrueBack、EnCase、FTK Imager或是FDAS。
所取得的圖像使用SHA-1或MD5 Hash函數進行驗證,在整個分析過程中,所使用的鑑識工具將對其再次驗證稱為「Hashing」,以確保證據仍然處於原始狀態。
2. 分析(Analysis)
將蒐集到的影像文件內容進行分析,以辨別證據支持或與假設相矛盾,或者是否有篡改的跡象。在分析過程中,鑑識人員運用數種不同的方法及工具還原證據資料,通常從被刪除的資料開始還原。檢驗員利用專業工具(例如EnCase、FTK等)對文件進行檢查和復原資料。資料復原的種類因調查而不同,例如電子郵件、聊天紀錄、圖像、瀏覽紀錄或是文件。這些數據可以從可用的磁碟空間、未分配空間,或從操作系統的快取文件中加以還原。
復原證據使用到多種不同的技巧,通常包括在取得的影像文件範圍內進行關鍵字搜尋,以識別符合的相關字句,或是解析出已知的文件類型。某些文件如圖形圖像,比對文件的開頭和結尾會有一組特定的字節,因此可將所發現之被刪除資料加以重建。許多鑑識工具利用Hash簽章來識別顯著的文件,或者排除已知的文件。取得的資料會與事先編輯的列表,例如國家軟體參考庫的參考資料集(RDS),進行雜湊與比對。
3. 報告(Reporting)
當調查完成後,資訊將依據鑑識蒐證及驗證分析結果產生鑑識報告,並以清晰方式呈現。報告可能包括審查資訊和其他數據資料。法庭上將作為具有證據能力的證據資料。
行動鑑識軟體特性比較
檢查行動手機與在一般電腦上進行鑑證相比之下困難許多,許多手機都有自己的專有作業系統,這使得這些設備在資料復原上是一個非常複雜的操作。此外,行動裝置市場的擴大,也意味著行動鑑識將成為一項重要議題。以下介紹目前常見的手機鑑識軟體。XRY與MOBILedit!軟體的比較如表2所示。
表2 XRY與MOBILedit!比較
XRY
XRY鑑識軟體是由瑞典Micro Systemation公司所研發的手機鑑識產品,用來從行動裝置如行動電話、智慧型手機、GPS導航工具和平板電腦中分析及還原數位資訊,可由一個硬體設備與手機連接到PC和軟體中萃取出資料。XRY目前已可支援超過1,400種以上手機型號,而對各種不同型號手機支援程度也有所不同,如圖3所示。
|
▲圖3 XRY支援許多手機款式。 |