本文將探討現今熱門的手機鑑識議題,透過實際操作的範例,說明現今手機鑑識軟體如何取得手機上的數位資料,並探討哪些資訊對於鑑識人員是可利用的數位證據,進而論證、釐清真相及犯罪事實。
由於資通訊科技的快速發展,手機在人類生活中扮演的角色產生重大的改變,從以往僅僅用來進行通訊溝通的工具轉變成用來獲取各種資訊的小型個人電腦,現今,手機已變成人們日常生活中的一環,其普遍性及重要性從表1即可得知。
表1 台灣手機普及率
表1係根據國家資訊通信發展推動小組於2011年7月公布的我國主要ICT(資通訊科技)相關統計資料製成,由表中可知,門號數量已經遠超出目前台灣所有人口數,平均每百人就有約一百二十個門號數,而其中有七成屬於可行動上網(WAP、GPRS、PHS、3G數據、WBA)的門號。
藉由網路與手機科技的緊密結合,現今的手機已不再只是用於通訊需求,許多行動服務不斷的推出,其方便且具高機動性的特質使得使用人數不斷增加,因而儲存於手機上的資料量亦隨之大幅增加。
以往,手機上的記憶空間大多只用於通話紀錄、簡訊(SMS)內容以及電話簿資料之儲存,而現今隨著手機智慧化的趨勢及行動服務的增加,手機裡的資料愈來愈五花八門,包含經緯度定位、電子郵件、應用程式、記事曆及多媒體資料等等,如上頁表2之比較。
表2 手機儲存資料比較
手機提供的便利性及高機動性,使其傳輸服務廣受歡迎且造成熱烈迴響,連帶有許多不懷好意的使用者也利用這些特性進行不當甚至於犯罪之行為。
而為了取得手機內含的證據,手機鑑識之需求即油然而生,用於取證手機資料的許多鑑識軟體也被發展出來,如Micro Systemation XRY、Compelson MOBILedit!等等,此類鑑識軟體的主要功能大多在於備份手機資訊,並且提供操作者觀看、查詢所備份資訊的介面。
本文主要內容即以XRY鑑識軟體為例,進行取證手機資料的實際操作解說,從中找尋有用的數位證據,並且比較其與MOBILedit!之差異。
數位證據與手機鑑識
手機可以是一般犯罪時使用的通訊工具,或成為特定犯罪使用的工具(如駭客行徑),這些牽涉手機的案件近年來不斷增加。
對調查單位而言,如何取得並且找尋有用的數位證據無疑是一項重要的議題,此項過程即一般所稱的「手機鑑識」,以下對數位證據及手機鑑識做概略性的說明。
數位證據
數位證據是物理證據的一種,與一般的彈痕、血跡等傳統證據不同,是以電磁紀錄的方式存在於電子或磁性設備中,其可佐證犯罪行為。
具有調查價值的數位資料即為數位證據,包括多媒體影像、數位文字、電子郵件、網路封包、對話紀錄、系統紀錄檔、手機簡訊等等,皆屬數位證據的範疇。
其具有如下的特性:易於複製及修改;不易個化,無DNA之類證據的唯一性特質;不易證實其來源及完整性;無法直接被人類所理解,需透過電腦或相關電子設備才可以呈現;不易蒐集取得,其蒐集或儲存需要具備專業技術及特定工具。
由此可知,數位證據的性質十分特殊,因此數位證據在採證的過程,必須符合正確的資料採證程序,到了法庭上才具足夠的證明力與證據能力提供審判的依據。
手機中儲存的資料,大多以電磁紀錄之方式存在,即這裡所稱的數位證據,其同樣具有上述數位證據的特性。
手機中的證據來源大略可分為SIM(Subscriber Identity Module)卡、手機本體及可卸除式裝置(Removable Devices)等三類,以下分別加以說明。
SIM卡
SIM卡最主要功能在於其內含唯一的一組認證金鑰Ki,讓使用者能夠向電信業者證明其身分,並取得適當服務的認證功能,它同時也額外提供少量的個人訊息儲存空間,如國際移動用戶識別碼(International Mobile Subscriber Identity,IMSI)、個人識別碼(Personal Identification Number,PIN)、電話簿、SMS簡訊及Location Information(LOCI)。