隨著手機等行動裝置不斷推陳出新,非法行為的手法不斷地改變,為了因應這些新的非法行為型態,使人們不再受到新型的詐騙手法危害,證據的蒐集方法也要不斷地改進。本文即針對Android智慧型手機Facebook Messenger App對話紀錄的萃取,分析留存在手機的數位證據來證明非法者的非法行為。
鑑識與分析
進行手機鑑識時,若直接操作手機,有可能讓證據能力遭受質疑,因為有些人認為操作手機會影響手機內的一些資料,進而質疑證據是否有可能受到影響而改變。
因此,若能透過鑑識工具將手機中的對話訊息萃取出來,不但無須為獲得證據手動操作手機而讓證據遭受質疑,更可以針對萃取後的資料進行分析,以獲得更進一步的證據,並且幫助調查人員對案情的研判。
本次主題以XRY進行實體萃取,以獲得對話訊息及其他相關證據。進行實體萃取的流程如下所述。
首先,在進行實體萃取前,電腦上除了必須安裝XRY的軟體外,也要備有手機的驅動程式,一般狀況下,在連接傳輸線時電腦就會自動安裝驅動程式。在此環境下,即可利用XRY的金鑰USB和手機連接線連接電腦,開始進行鑑識流程。
接著,利用XRY進行手機鑑識時,依據以下介紹的XRY操作步驟,即可將對話訊息萃取出來。
使用XRY時,由於是從裝置中的資料進行萃取,因此要先點選頁面中的「Extract data from device」,之後XRY會從金鑰USB中確認使用權限,便可開始操作。
開始進行實體萃取前,必須先依序篩選出要進行鑑識的目標,有下列數個項目進行篩選:
- 裝置種類:包含手機、SIM卡、Disk、GPS、Mobile Modem、媒體裝置。
- 找尋鑑識裝置的方式:有自動搜尋、依據型號尋找、利用TAC碼、使用名稱搜索、利用歷史紀錄。
- 該手機的製造商品牌名稱:選取該手機的品牌,XRY同時支援多種手機品牌。
- 手機的種類:選取手機種類,包含折疊、滑蓋、旋轉、觸控等樣式。
- 型號名稱:XRY會依據篩選結果顯示出其支援的手機型號,此時可能會出現許多手機型號提供選擇,依據圖片和型號名稱即可找到目標手機。若未出現在這些選項中,表示XRY不支援該型號的手機鑑識。
如此一一篩選後,即可找到要鑑識的目標智慧型手機。此次主題是針對Samsung智慧型手機進行實體萃取,因此篩選時的裝置種類將選擇手機,找尋鑑識裝置的方式則為依據型號尋找,製造商品牌為Samsung,而手機種類為觸控式,最後再依據手機型號名稱就可以找到目標。
點選手機型號後,就會顯示出XRY萃取目標手機資料的程度及條件,而萃取方式分為邏輯萃取和實體萃取兩部分。
如圖7及圖8所示,在邏輯萃取的部分,連接方式限用USB連接線連接,能夠萃取的資料包含電話紀錄、簡訊、E-mail等;而無法萃取的資料包括相片、影片、音訊、檔案等,都無法萃取出其內容。
|
▲圖7 XRY支援Samsung GALAXY Gio GT-S5660邏輯萃取的內容及限制。 |
|
▲圖8 XRY支援Samsung GALAXY Gio GT-S5660實體萃取的內容及限制。 |
至於實體萃取的部分,同樣地連接方式限用USB連接線連接,除此之外,Android的版本必須為2.2.1以下才能進行實體萃取,而能夠萃取的內容也只有檔案一項,其餘諸如簡訊、E-mail、通話紀錄等,都無法經由實體萃取而獲得。
確認型號後,即可選擇要進行邏輯萃取或是實體萃取,本次要萃取Facebook Messenger App對話訊息,因此選擇實體萃取,之後選擇要儲存萃取結果的位置,並將該檔案命名。
儲存之後,該檔案會有「.xry」的副檔名,表示這個檔案為XRY程式專用的檔案,只能利用XRY程式開啟。
等待萃取流程結束後,就可以開始進行分析資料的工作。此步驟須注意的是,完成實體萃取後,會再回到選擇實體萃取和邏輯萃取時的畫面,但會多出一個Finish選項,如圖9所示。
|
▲圖9 完成實體萃取後的畫面 |
若將此視窗直接關掉,會造成資料萃取失敗,應該要先點選Finish選項後才算真正完成。完成之後,會直接跳出實體萃取的資料。
實體萃取完成後,就可以開始分析實體萃取的結果,XRY將實體萃取的結果區分為DEVICE、FILES、XRY SYSTEM三大項,如圖10所示。
|
▲圖10 實體萃取結果畫面。 |