Facebook Android LINE 數位鑑識 電腦犯罪 備份

保留Android手機證物 鑑識萃取LINE對話紀錄

在台灣LINE的訊息傳遞使用率高達92%,因此也成為了歹徒宵小犯罪利用的途徑。本文即探討對於藉由LINE為犯罪媒介的各種犯罪手法,應該如何去防範,或是進一步去萃取手機所遺留之相關跡證,並完整地擷取、分析出能有力佐證非法企圖的數位證據。
透過Titanium Backup備份LINE檔案

要透過Titanium Backup來備份手機LINE或各式各樣應用程式的資料之前都要先經過Root的程序來取得手機的最高權限,以獲得完整的系統控制權,而目前網路上有許多工具可幫助手機進行Root的工作,也相當的簡單、便利,因此這裡不再一一做介紹。


打開Titanium Backup後,裡面有全部手機所安裝的App,為備份原始手機上的LINE紀錄檔與設定值,選取LINE應用程式後,進行備份相關的主程式與設定,如圖7所示。


▲圖7 點選LINE應用程式。


回到LINE的備份對話盒,從「特殊功能」選項中,選取「傳送最新備份」,再選擇應用程式與資料(簡單匯入)欄位,如圖8所示,這樣就可以將其檔案與設定整合為一個檔案,方便之後的匯入工作。


▲圖8 選取傳送最新備份。


選擇透過何種方式將備份檔輸出至外部儲存空間,可由郵件寄送或是藍牙傳輸等等,如圖9所示,以便進一步做相關萃取、鑑識工作,而其備份檔檔名為「jp.naver.line.android-20151103-003935.TiBkp」。


▲圖9 傳送備份方式。


另外一支手機同樣也需要先經過Root程序,並且安裝Titanium Backup,當備份檔案傳輸過來之後,點選右上角的MENU,叫出設定選單,然後在選單上面點擊「匯入備份(.TiBkp)」選項,並選取剛剛備份的原始手機檔案,如圖10所示。


▲圖10 匯入備份。


當出現「備份已成功匯入」訊息的時候,就代表已經將備份檔匯入備份資料夾當中,但是尚未還原到手機系統之內,因此接下來還要點擊〔應用程式與資料〕選項來還原LINE的檔案及設定值,如圖11所示。


▲圖11 匯入App與資料。


還原成功後,會在通知列上跳出訊息,告知備份還原工作已完成,打開LINE之後就可發現與原始手機相同的聊天紀錄與設定,如圖12所示,以利後續數位鑑識工作之進行。


▲圖12 復原聊天紀錄。

藉由DB Browser for SQLite讀取資料

同樣地,手機須先取得Root權限,才可看到根目錄「/root」裡的檔案,再透過上面Titanium備份將LINE的資料庫萃取出至一支乾淨手機後,針對路徑「/root/data/data/jp.naver.line.android/databases/naver_line」的檔案,藉由DB Browser for SQLite去讀取,並匯入整個App資料庫的結構表,裡面包含資料庫的各項資料,有語音電話紀錄、群組資訊、聯絡人、貼圖等等,如圖13所示。


▲圖13 顯示資料庫結構。

點入想查詢的表格後,可以瀏覽各項資料,如Group的表格裡有群組名稱、創建人的ID、創建時間等等,如圖14所示。


▲圖14 查看群組資料。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!