WhatsApp 即時通訊 即時訊息 數位鑑識 行動 OS

深入iOS同步電腦備份檔 鑑識WhatsApp通訊跡證

本文將針對iOS裝置以Apple iTunes官方軟體之備份萃取方式,探討及實測有關通訊軟體WhatsApp的鑑識分析,萃取及測試是否能以相關檢測工具取得相關通訊對話訊息,以協助鑑識人員於智慧型行動裝置的鑑識分析工作。
智慧型手機的功能越來越多,無論上網、傳送訊息及收發電子郵件,幾乎都可以在智慧型手機上進行,相對地,意圖犯罪者也可能利用智慧型手機進行犯意聯絡或犯罪活動,因此在對一個犯罪嫌疑人的智慧型手機進行鑑識檢查時,將有機會發現可佐證刑事案件起訴的相關證據。

根據國際數據公司(International Data Corporation,IDC)公布的2014年第二季市場報告,全球智慧型手機出貨來到2億9530萬支,較2013年第二季的2.4億支成長約23.1%。在今年第二季,iOS出貨量3,510萬支,雖然較去年成長13%,但卻因為Android智慧型手機總出貨量成長較多,市佔率反而由13%縮減為11.9%。

然而,Apple公司在今年9月推出的新手機iPhone 6及iPhone 6 Plus,因有較大螢幕尺寸之手機推出,使得之前因無較大尺寸螢幕可供選擇而被迫改用其他廠牌手機的用戶紛紛回籠,之後相關市占率是否會再提升則有待觀察。

儘管iOS裝置目前已非市占率最高之行動裝置,然而因其效能與功能及外觀獨特性等因素,故仍有不少忠實愛用者,其在智慧行動裝置依舊占有舉足輕重之重要地位。

因此,本文提出在iPhone手機備份檔案中針對WhatsApp的檔案進行鑑識與分析,是以透過Apple所提供的iTunes官方軟體將iPhone手機執行備份,並針對其備份資料做深入的分析與萃取,取得數位證據還原真相,用以輔佐案件鑑識之進行。

背景知識介紹

因為智慧型行動裝置的普及,使得許多犯罪與其息息相關,例如透過手機通訊平台進行網路詐騙、網路援交聯繫或犯罪者於犯罪活動之通訊聯繫等,若對一個犯罪嫌疑人的智慧手機進行鑑識檢查,更有可能找到支持刑事案件起訴的相關證據,或者也可以協助民事或其他類型案件的調查。

然而,智慧型行動裝置始終處於開機活動的狀態,並不斷更新數據,這可能會導致證據資料更快地流失。此外,智慧型活動裝置於操作系統的更新非常頻繁,因此使得鑑識人員很難跟上檢查方法和鑑識檢查每個版本所需的工具。

以下將著重在iOS作業系統的智慧型裝置之鑑識研究,首先說明其相關基本鑑識知識。

iOS作業系統裝置之數位鑑識

因為iOS智慧型裝置並沒有任何外部擴充的記憶卡,所有的資料都儲存在裝置內的記憶體,而iOS裝置可以利用Apple的iTunes同步備份工具在電腦中進行資料備份,雖然iTunes不是設計來當作鑑識萃取的工具,但鑑識人員可用它來執行iOS設備內的資料備份,透過鑑識分析相關備份檔案,可能獲得相關證據資料。

目前對於利用iTunes進行相關鑑識可分為兩種方式,第一種是利用iTunes的備份資料進行鑑識,不需要實際拿到iOS裝置,只要對使用者進行備份的電腦執行鑑識即可。第二種則是萃取iOS裝置上的資料,而且又可分為邏輯萃取與實體萃取。

基於上面所述的情形,進行iOS數位鑑識的萃取工作,可以從備份萃取、裝置萃取這兩個方面來進行。

備份萃取
Apple iTunes是針對iOS裝置與個人電腦連接的驅動與管理程式,其備份包含影音檔、相片、通訊錄、通話紀錄、行事曆、應用程式、Safari資料(書籤、Cookie、瀏覽紀錄)、鑰匙圈(包括電子郵件帳號密碼、Wi-Fi密碼、應用程式密碼)等。

這些備份檔案會因為作業系統不同而儲存在電腦的各個對應路徑,針對Mac及Windows作業系統彙整如表1所示。

表1 iTunes備份檔案儲存路徑

裝置萃取
裝置萃取有可分為實體萃取及邏輯萃取兩種,以下分別加以說明:

·實體萃取:若要對iOS作業系統裝置進行實體萃取,必須要在裝置內安裝鑑識工具,並透過鑑識工具將其內部資訊以位元複製或製作映像檔的方式萃取出來,再進行鑑識分析。但由於iOS作業系統裝置的獨特性,鑑識人員若要順利安裝鑑識軟體,就必須先執行「越獄」(JailBreak,簡稱JB)的程序。這是一種針對Apple所開發的作業系統iOS進行破解的技術程序,在經過JB的程序後,便能解除iPhone手機本身的一些功能限制,繼而能順利安裝並執行鑑識工具軟體。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!