本文將探討現今熱門的手機鑑識議題,透過實際操作的範例,說明現今手機鑑識軟體如何取得手機上的數位資料,並探討哪些資訊對於鑑識人員是可利用的數位證據,進而論證、釐清真相及犯罪事實。
對手機鑑識而言,以邏輯萃取方式而得到的資料,不論對犯罪偵察或是一般手機備份都相當重要,其中包括簡訊、瀏覽紀錄、圖片、電子郵件、電話簿、GPS定位資料等,而這種萃取方式僅是從檔案系統中單純取出資料,其支援手機的機型與程度也遠多於實體萃取方式(圖4?8)。
|
▲圖4 各式手機型號支援邏輯萃取之程度不盡相同。 |
|
▲圖5 萃取通話紀錄資料。 |
|
▲圖6 萃取簡訊資料。 |
|
▲圖7 萃取電子郵件資料。 |
|
▲圖8 萃取GPS定位資料(視手機是否支援定位功能)。 |
實體萃取資料
在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料的空間重新劃分成可用空間。
實體萃取(Physical Extract)方式則是將手機或記憶卡等記憶儲存體上所有位置的資料全部取出。利用這種方式可以掃描到被刪掉的檔案內容,並將擷取到的記憶體內容解碼還原成原始檔案,讓鑑識者取得檔案系統上看不見的證據。
但由於每種手機型號的架構及檔案系統不盡相同,解碼的支援程度也有限,因此有時候也只能取得零碎的記憶體資料而無法還原成檔案,而其支援的機型與程度相較於邏輯萃取方式也少了許多(圖9)。
|
▲圖9 記憶卡實體萃取的支援程度。 |
以此次使用的HTC Desire手機為例,萃取後可以取得Block3、4、5的資料檔案(圖10?12),其中包含系統檔案、快取資料、使用者資料,而Android作業系統的磁碟各區塊所含有的資料如表3所示。
表3 Android手機不同區塊的資料類別
|
▲圖10 萃取資料—mtdblock3(系統檔案)。 |
|
▲圖11 萃取資料—mtdblock4(快取資料)。 |
|
▲圖12 萃取資料—mtdblock5(使用者資料)。 |
從實體萃取的資料中可以得知該檔案物件的屬性欄位,包括objected(檔案的唯一識別碼)、parent(指向目錄的編號),從Deleted欄位也可以了解該檔案是否已遭刪除,並且得知其實際的檔案大小與所占用的磁碟空間等資料。
邏輯萃取方式及實體萃取方式兩者之間的比較,如表4所示。
表4 邏輯與實體萃取方式的優缺點