WhatsApp 即時通訊 即時訊息 數位鑑識 行動 OS

深入iOS同步電腦備份檔 鑑識WhatsApp通訊跡證

本文將針對iOS裝置以Apple iTunes官方軟體之備份萃取方式,探討及實測有關通訊軟體WhatsApp的鑑識分析,萃取及測試是否能以相關檢測工具取得相關通訊對話訊息,以協助鑑識人員於智慧型行動裝置的鑑識分析工作。
·邏輯萃取:所謂的邏輯萃取是透過與作業系統的互動而將iOS裝置內可以見到的內容擷取出來。換句話說,必須透過直接操作iOS裝置的方式在裝置內搜尋所欲取得的數位證據。在邏輯萃取的情況下,無法如實體萃取一般取得已刪除之檔案,因此邏輯萃取時非活動文件的資料有可能在這樣的萃取過程中被遺漏,例如在電腦鑑識時一個邏輯萃取可能會遺漏儲存在閒置空間的資料。對於智慧型手機的所有的邏輯萃取技術,都存在同樣的問題。

通訊軟體WhatsApp

WhatsApp是一款手機通訊軟體,可簡單迅速地傳送訊息給好友。它能從個人手機通訊錄中讀取聯絡人號碼,然後自動將它們加入到WhatsApp中,並將已經擁有WhatsApp帳戶的聯絡人顯示在常用聯絡資訊內。

所以,如果想新增聯絡人到WhatsApp中,只需要簡單地將他們的姓名以及電話號碼輸入到手機通訊錄中即可。

WhatsApp與LINE及WeChat較不同的是,它目前並沒有提供即時視訊及語音對話功能,並且用戶可以免費下載WhatsApp使用一年,在一年的試用期後,將每年收取0.99美元的服務費(約新臺幣30元),當然優點是WhatsApp在使用上永遠不會受到廣告的打擾。

除了傳統的訊息功能外,WhatsApp用戶可以創建群組,互相無限傳送照片、視訊和語音訊息等多媒體檔,並且可以在iPhone、BlackBerry、Windows Phone、Android和Nokia等平台上安裝使用。

鑑識方法探討

當有非法人士利用手機通訊軟體WhatsApp進行犯意聯絡或者犯罪活動的時候,應該要如何取得WhatsApp的數位跡證呢?以下就幾個狀況來加以說明。

可取得嫌犯所使用之手機裝置

在相關聯繫訊息並未遭刪除或破壞的情況下,鑑識人員會嘗試以邏輯萃取方式,先透過與手機的互動方式將手機裝置內可以查到的內容擷取出來,例如以iTunes等同步備份工具,將相關iOS裝置之App資料備份出來,並以適當的工具軟體尋找可能的數位跡證資料。

但如果取得的手機相關訊息資料已被刪除或破壞,鑑識人員就必須改採實體萃取方式,將手機的資料完整萃取,例如以XRY等工具軟體將手機的資料以實體萃取方式擷取手機裝置裡的相關資料,然後再從中找尋及復原可能的通話資料。

當然,實體萃取方式可能會牽涉到「越獄」(JailBreak)或取得手機裝置之root存取權限等議題;而實體萃取方式仍無法有效取得所需數位跡證,亦可從手機裝置之使用者所用的電腦設備著手,查看是否曾經連接電腦使用而有同步備份的紀錄,並從中搜尋可能留下的數位證據。

無法取得嫌犯所使用之手機裝置

在無法取得嫌犯使用的手機裝置的情況下,或許可從嫌犯所使用的電腦開始清查及搜尋,如果剛好有使用電腦習慣,有極大的可能會將手機裝置連接電腦使用或充電,這時如果相關同步備份機制自動啟動,就有可能從備份在電腦的相關資料去進行鑑識分析。

如果無法取得嫌犯手機,而且也找不到有同步備份於電腦的資料,這時只能再針對嫌犯可能聯繫的人員進行清查,例如同一犯罪行動之其他成員或週遭可能曾經聯繫的友人同伴,或許在其所使用的手機裝置內可查到相關曾經進行犯意聯絡之數位跡證等資料。

以下就iPhone 5S進行WhatsApp的數位跡證進行鑑識分析探討,透過iTunes的同步備份資料,以邏輯萃取方法將WhatsApp數位跡證萃取出來,並進行鑑識分析。

本次所進行的測試實驗,所採用的iOS版本為7.1.2、WhatsApp版本是2.11.12。這裡也使用了另一個工具iTools幫助查看備份檔資料的工作,其功能可讓使用者直覺地管理iOS裝置,以模擬裝置連結的方式管理備份檔案,如圖1所示。


▲圖1 iTools開啟iTunes備份檔以樹狀目錄架構呈現。

在確認備份檔的路徑後,將使用軟體plist Editor Pro for Windows(version 2.1)、SQLite Database Browser(version 3.2.0)檢查iTunes產生的備份檔。

本實驗的WhatsApp儲存對話紀錄路徑是在「/var/mobile/Applications/net.whatsapp.WhatsApp/Documents」路徑下的ChatStorage.sqlite資料庫檔案,如圖2所示。


▲圖2 WhatsApp儲存對話紀錄的資料庫檔ChatStorage.sqlite。

以SQLite Browser打開ChatStorage.sqlite的資料庫檔案後,可以發現ChatStorage.sqlite記錄了用戶在WhatsApp上通訊的內容。此外,還有通訊的時間(類似UNIX的時間格式)、聯絡人的名稱等。

在WhatsApp的多媒體檔案(如照片、影片及聲音檔)傳送之儲存路徑在「/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Media」底下,如圖3所示。


▲圖3 WhatsApp備份檔中多媒體檔案傳送紀錄的儲存路徑。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!