本文將探討現今熱門的手機鑑識議題,透過實際操作的範例,說明現今手機鑑識軟體如何取得手機上的數位資料,並探討哪些資訊對於鑑識人員是可利用的數位證據,進而論證、釐清真相及犯罪事實。
第三步:報告
最後,可以把採取到的數位證據以及Log紀錄輸出成一份報告(Reporting),然後,利用XRY鑑識軟體所提供的工具(圖13)可以很容易地將收集到的資料轉換成Word、Excel等格式(圖14),也可以將取得之GPS定位資訊輸出為Google Earth使用的kmz格式並使用地圖來搭配分析(圖15)。
 |
| ▲圖13 XRY提供的Report工具。 |
 |
| ▲圖14 輸出Excel格式報告(各分頁為不同資訊欄位)。 |
 |
| ▲圖15 將Locations資料輸出至Google Earth使用。 |
市面上的手機鑑識軟體大多大同小異,另外一個MOBILedit!軟體(圖16)也提供手機資料的備份與還原、SIM資料的檢視及輸出鑑識報告等功能。
 |
| ▲圖16 MOBILedit!操作介面。 |
除此之外,MOBILedit!還提供使用者PC操作介面,讓使用者可以利用PC端控制行動電話,例如撥打電話、簡訊編輯與傳送、通訊錄工具功能等。
MOBILedit!甚至也提供與Outlook的同步以及Ringtone editor鈴聲剪輯功能,其著重於手機與電腦間連結(圖17)以及輔助的應用介面,即使手機螢幕損壞,仍能使用MOBILedit!對手機進行操作。
 |
| ▲圖17 以電腦端編輯簡訊。 |
MOBILedit!與XRY最大的不同點,在於其備份資料時可以僅選擇特定或單一資料夾(圖18),但是無法提供實體萃取的解碼功能。兩者的功能詳細比較,可參考表5。
 |
| ▲圖18 Backup wizard可選取單一資料夾。 |
表5 XRY與MOBILedit!比較
案例說明
線報指出甲君於從事證券交易時有內線交易之情事,當持搜索票前往執行調查時,遇甲君抵抗、反鎖房門不予回應,並且立即湮滅其犯罪相關之證據,待鑑識人員進入時發現甲君使用之手機與電腦已遭摔毀。
查扣相關證物後,鑑識人員將其交由鑑識人員進行分析,發現其手機僅螢幕破裂無法顯示,內部儲存記憶體的資料並未損壞,此時即可利用手機鑑識軟體萃取其內容,找出有用的證據。
首先,鑑識人員藉由上述所提製作手機映像檔的步驟,將手機儲存體中的內容取出,並且從中找出有用之證據。如圖19所示,得到嫌疑犯與其他共犯間所傳遞的簡訊內容,並且將此作為證據以供調查之用。
 |
| ▲圖19 取得手機簡訊內容。 |
得到其他共犯的訊息之後,就可以擴大調查的範圍,並且鎖定該特定人士。藉由萃取手機通聯資料了解嫌疑犯與其他共犯的通訊往來紀錄,並且同步清查甲君名下的金融帳戶,找尋是否有不法利益的金流紀錄。