Android 圖形鎖 行動 跡證 鑑識

刷機Recovery取得權限 破解上鎖安卓機採證困境

2015-11-10
不同於電腦中的硬碟能夠拆卸以製作證物映像檔,智慧行動裝置的儲存媒體為快閃記憶體且不可拆卸,因此在取證上就有諸多的限制,若手機設有圖形鎖,且其型號不在鑑識工具支援之列,那麼在鑑識過程中就會碰到本文中所提出的種種值得深思且必須取捨的難題。
科技發展給人們的生活帶來巨變,智慧行動裝置的普及,許多服務與商機應運而生。智慧行動裝置成為人們生活中不可或缺的一部分,聊天App與社群App成了最常使用的聯繫與社交方式。但也有另一種隱憂,那就是利用智慧行動裝置進行犯罪行動聯繫,或散佈惡意程式,甚至進行駭客攻擊等高科技犯罪,也愈發猖獗而難以防範追查。

由於智慧行動裝置的儲存媒體為快閃記憶體,不同於電腦中的硬碟能夠方便拆卸以進行證物映像檔製作,因此智慧型手機等設備的取證在先天上就有了此等限制,再加上還有USB偵錯模式的開啟與否、螢幕桌面鎖定、全機加密等等關卡,在在使得鑑識人員頭痛不已。

更遑論即使那些關卡都克服了,能夠順利地取出聊天App的資料庫,仍尚有資料庫加密、聊天訊息加密儲存、聊天訊息「閱後即焚」等等難關。別看一支小小智慧型手機,取證分析的關卡可真不少。接下來,就以實際的例子來說明如何進行此類的數位鑑識作業。

實際案例討論

國安單位接獲友國情資,顯示近期可能有與恐怖激進組識關連的人士入境,計畫發動恐怖攻擊,成員中不排除可能包括華裔人士。國安單位不敢大意,立即啟動反恐機制,成立專案調查小組,嚴密監控出入境可疑人士。

情報員L亦參與此專案調查工作,L奉命跟監一名於2天前入境的J小姐,她具有華人血統,過去即曾多次出入境,且從J小姐通關時所填寫的資料可看出她懂得中文讀寫。隨著時間一分一秒過去,高層神經愈加緊繃,向專案小組施加壓力,要求儘速查出這些遭到跟監的人士是否與該恐怖組織有關,以及其恐攻計畫為何。

L在跟監J小姐的過程中發現,她行事極為低調,甚少外出,其對外通訊都是利用智慧型手機上的聊天軟體App進行。L雖能側錄到J小姐的網路封包,但因該聊天軟體App是採用加密傳輸,因此難以得知聊天內容。但L憑藉直覺判斷J小姐涉案可能性極高,便果斷地將J小姐請至局裡坐坐,同時並扣押了J小姐的Android手機及筆記型電腦。J小姐的反應十?分冷靜,堅稱其持有美國護照,是美國公民身分,在偵訊過程中多次誤導偵辦方向,口風甚緊,未能套出任何相關線索。

鑑識人員在對J小姐的筆電進行鑑識分析之後,初步排除有與恐怖攻擊相關的可疑內容。但對於J小姐的Android智慧型手機,卻是無計可施。鑑識人員查過Support List發現,此機型並未在商業版手機鑑識軟硬體設備所能支援的清單之中,但仍不放棄,抱著姑且一試的想法進行鑑識分析,可惜皆未能順利進行資料擷取。案情陷入膠著,國安高層立即邀請國內相關單位前來協助,各單位專家紛紛拿出壓箱寶輪番上陣施展絕活,但仍是毫無進展。

的確,本來智慧型手機的取證工作就存在著重重關卡,只是往往呈現在一般大眾面前的,所謂破了案的不外乎都是相對單純的。例如,雖然有密碼鎖或圖形鎖,但也從其他地方下手而問到或猜到;或者,雖然手機本身雖沒法對付,但從犯嫌在電腦上的手機備份檔或是雲端上的備份檔,亦可取得重要跡證。

但鑑識人員已確認J小姐的筆電中,未存在任何手機備份檔案,亦未有任何雲端機制的使用痕跡。據此可研判J小姐十?分謹慎,若該手機未與筆電同步過,也未使用任何雲端機制,便沒有其他法子可迂迴進行,唯一線索就在這手機裡頭了。

鑑識過程遭遇瓶頸

手機鑑識分析與電腦鑑識分析,最大的不同點在於「取證」。簡單來說,在一般情況之下,可以將硬碟自電腦中取出,然後借助防寫設備(Write-Blocker)達到原始證物硬碟處於唯讀而無法寫入的狀態,再進行物理獲取(Acquire),便可產生證物映像檔。該證物映像檔內容與原始證物硬碟內容分毫不差,憑藉Hash值的驗證,即可證明原始證物未遭任何竄改或污染。

那手機呢?因為手機的內部儲存裝置不是可方便拆卸的硬碟,而是嵌入式的Flash,因此在一般情況下(撇除JTAG或Chip-Off),只能透過手機上的USB接口進行取證工作,所以無法像對付電腦硬碟一樣,可拆下手機當中的儲存裝置以進行物理獲取。

目前市面上可見的商業版手機鑑識分析工具種類雖然也不少,但在面對猶如機海的智慧型手機市場時,亦難做到每種機型都能支援,倘若連執法單位最仰賴的商業版手機鑑識分析工具都沒輒的話,就真的不知該如何是好了。此時,情報員L想起一位多年好友R應該能幫上忙,便設法取得聯繫,請R火速至鑑識科協助。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!