即時訊息 App 行動 手機 IM 加密 鑑識

跨越手機鑑識採證阻礙 破解聊天App加密資料庫

2016-03-11
手機取證與電腦取證的特性不同,而且存在著一些瓶頸有待突破,尤其是當商業版的手機鑑識工具力有未逮之時,便需要鑑識人員發揮經驗及技術,在確保手機內資料無破壞之虞的情況下擷取出重要跡證。
本文將以實例來加以說明,話說某高科技公司爆發營業秘密外洩案,警方根據所提供的線索鎖定一名資深經理L,懷疑他就是主謀,已扣得包括公務用電腦、個人筆電、智慧型手機及隨身碟等相關證物,送往進行鑑識分析。

初步分析結果發現,L在離職前夕已將筆電及隨身碟等進行徹底抹除(Wipe),因此未能在其中查得與案情相關的重要跡證。鑑識團隊把焦點鎖定在L所使用的Android智慧型手機上,採用現今世界上最頂尖的手機鑑識軟體進行鑑識分析,尚未發現任何可疑跡證。

此結果令鑑識團隊感到困惑,因為根據警方約談相關證人的筆錄顯示,L確有使用某聊天軟體進行通訊,但手機鑑識軟體卻未能「看」到L的Android手機內該聊天軟體的聊天紀錄蹤跡,讓案情陷入膠著。

尋求解決之道

經過多次可行性評估之後,決定採用提權的方式深入手機內部取出該聊天軟體的資料庫檔案,如此才能確切掌握相關聊天紀錄以還原案情真相。

鑑識人員經過一番努力,順利地提權成功並取出該聊天軟體的資料庫檔案EnMicromsg.db,但無法直接開啟檢視,鑑識人員遂對此一資料庫檔案進行鑑識分析。

研判是加密的資料庫

取證分析的工作站所採用的作業系統為Ubuntu 14.04.01,而Linux核心是64位元版本。

因為智慧型手機上的App所採用的資料庫多為SQLite,因此首先要安裝SQLite Database Browser以開啟資料庫檔案。如圖1所示,在Software Center輸入關鍵字「sqlitebrowser」便可順利找到安裝套件。


▲圖1 在Software Center搜尋sqlitebrowser套件。

如圖2所示,按下〔Install〕按鈕後,便可以開始安裝。


▲圖2 安裝SQLite Database Browser。

安裝完畢,立即開啟SQLite Database Browser,如圖3所示。


▲圖3 SQLite Database Browser開啟畫面。

接著,選取欲開啟的資料庫檔案「EnMicromsg.db」,並按下〔Open〕按鈕加以開啟,如圖4所示。


▲圖4 選取欲開啟的資料庫檔案EnMicromsg.db。

卻見到如圖5所示的錯誤訊息,無法順利開啟,提示此檔案並不是SQLite 3格式的資料庫檔案。


▲圖5 無法辨識資料庫,因而出現錯誤訊息。

再以Bless Hex Editor查看該資料庫內容,如圖6所示發現其內容皆是亂碼,據此研判應是資料庫加密所致。因此,需要先研究出其加密演算法及可能有所關聯的訊息以進行破密。


▲圖6 以Bless Hex Editor開啟後出現亂碼。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!