本文將針對iOS裝置以Apple iTunes官方軟體之備份萃取方式,探討及實測有關通訊軟體WhatsApp的鑑識分析,萃取及測試是否能以相關檢測工具取得相關通訊對話訊息,以協助鑑識人員於智慧型行動裝置的鑑識分析工作。
於iTunes備份檔萃取WhatsApp之相關通話紀錄
經以iTools工具檢視iTunes備份檔相關儲存WhatsApp通訊軟體的資料路徑在「/var/mobile/Applications/net.whatsapp.WhatsApp/」,且其儲存對話紀錄路徑是在「/var/mobile/Applications/net.whatsapp.WhatsApp/Documents」下之ChatStorage.sqlite的資料庫檔案,遂將該檔案匯出,以利進行後續鑑識分析工作。
對ChatStorage.sqlite執行鑑識分析
以SQLite Database Browser工具程式檢視WhatsApp儲存對話紀錄的資料庫檔ChatStorage.sqlite,在資料表ZWAMESSAGE的ZTEXT欄位內容中發現犯嫌甲於本案毆打某A高中學生前一天,疑似在群組傳送了要群組成員於隔天攜帶棍棒到某高中校門口堵某A學生,並要讓該學生斷手斷腳等訊息,如圖7所示。
|
▲圖7 群組內的通訊對話內容。 |
經關聯資料表ZWAMESSAGE之ZCHATSESSION欄位、資料表ZWACHATSESSION之Z_PK欄位及ZWAGROUPMEMBER資料表之ZCHATSESSION欄位,顯示該群組名稱為「兄弟相挺幫」,且該群組之成員有犯嫌甲及乙、丙三人(圖8)。
|
▲圖8 群組之名稱及相關成員。 |
於關聯相關欄位內容後,發現犯嫌甲於案發前,在WhatsApp的「兄弟相挺幫」群組,通知群組成員乙和丙兩人於隔天持棍棒毆打受害人學生A。
藉由檢查iTunes備份檔,確認為犯嫌甲的手機於執行同步備份所產生,並分析所記錄的傳送訊息內容,證實犯嫌甲確有以WhatsApp通訊軟體事先通知乙及丙等兩人,於約定時間地點共同毆打某高中學生的情形,後續並將相關發現的數位跡證提供給調查人員進行處置。
結語
WhatsApp搭配智慧型行動手機裝置使用,讓使用者能夠隨時隨地、無所限制地與人發送語音、影片、圖片和文字等訊息進行對話或聯繫事情。相對地,亦可能被犯罪者作為進行非法活動的溝通工具,如犯罪活動進行的資訊聯繫或透過其進行詐騙行為等。
本文針對iPhone 5S裝置,透過Apple iTunes軟體同步備份機制,以iTools、plist Editor及SQLite Database Browser等工具程式,可於iTunes軟體之同步備份檔取得WhatsApp相關對話訊息等數位證據資訊。
因此,使用WhatsApp手機即時通訊軟體之相關通訊數位證據,還是會留存於手機或是同步備份檔中,若以適當及有效的鑑識工具及方法,仍可有效協助還原及關聯出犯罪案件中相關犯嫌之間所進行的通訊聯繫資訊。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>