本文將以利用行動通訊軟體散布惡意影像之犯罪為例,針對行動裝置中的惡意影像進行鑑定判別,並進一步分析來源與行動通訊軟體之通訊對象,找出散布惡意影像的犯罪者。
對行動裝置分析
此部分是將iDevice與電腦或數位鑑識工具連接,進行數位證據萃取,並進一步分析萃取所得之數位證據,而其萃取方式可分為邏輯萃取(Logical Acquisition)和實體萃取(Physical Acquisition)兩類,以下針對此兩類萃取方式分別進行說明:
·邏輯萃取(Logical Acquisition):透過與iOS作業系統的互動而將iDevice中顯而易見的數位內容萃取出來,亦即鑑識人員直接操作iDevice,搜尋任何可能與案件相關連的數位證據。但同時也可能遺漏資料,無法取得遭刪除或覆蓋的檔案,例如儲存空間中的剩餘空間(Slack Sapce)資料。
·實體萃取(Physical Acquisition):若要利用數位鑑識工具對iDevice進行實體萃取,可能必須先執行「越獄」(JailBreak,JB)的程序,解除iOS某些功能上的限制,之後製作映像檔或以Bit-stream方式進行萃取,再利用取得的映像檔進行數位鑑識分析。
iDevice數位鑑識相關工具介紹
以下介紹與iDevice數位鑑識相關的工具,包括iBackup Viewer、SQLite Manager及plist Editor Pro。
iBackup Viewer
iBackup Viewer是一款可用於檢視iDevice備份檔案的檢視工具(圖1),可直接讀取備份檔案,快速檢視資料。
 |
| ▲圖1 iBackup Viewer(Free Version)檢視備份檔案。 |
備份檔案包含聯絡人資料、通話歷史紀錄、SMS以及iMessage訊息等資料,也可以直接存取連接的iDevice,檢視其中的檔案和App等資料,並且提供檔案匯出功能,讓鑑識人員得以產出特定數位證據。
SQLite Manager
SQLite是一個嵌入式SQL資料庫引擎。其文件格式可跨平台運作,一般使用者可自由複製32位元或64位元系統之間的資料庫,而且SQLite資料庫不算龐大,並可依照不同的作業平台進行編譯器的優化調整,視情況整體資料庫容量可再縮小,這樣的特性讓智慧型手機或PDA等行動載具開始採用SQLite進行運用。
而SQLite Manager(https://addons.mozilla.org/zh-tw/firefox/addon/sqlite-manager/)是Mozilla Firefox的免費附加元件(圖2),可管理電腦本機上任何SQLite資料庫;提供直覺性的階層式介面;可以瀏覽、搜尋資料表(Table)、索引(Index),以及進行添加、編輯、刪除和複製紀錄;可以執行SQL語言的查詢;提供下拉式清單選項、工具列等來進行簡易SQL查詢;或以csv、xml、sql等格式輸入和匯出資料表或資料庫。
 |
| ▲圖2 SQLite Manager操作畫面。 |
plist Editor Pro
屬性清單(Property List)檔案是一種用來儲存序列化後物件之檔案類型。由於其檔案的副檔名為.plist,因此這種類型的檔案通常被稱為plist檔案。plist檔案通常也被用於儲存使用者設定的資料。
如圖3所示,plist Editor提供一個直覺性的使用者介面,讓一般使用者得以編輯處理這種類型的檔案資訊,可以輕鬆存取各種標準屬性清單檔案。
 |
| ▲圖3 plist Editor Pro操作畫面。 |
開源影像鑑識偵測工具簡介
這裡所要介紹的影像鑑識偵測程式,包括開源程式碼的FotoForensics及Izitru。
FotoForensics
FotoForensics(http://fotoforensic.com/)是一套免費的線上影像鑑識偵測工具,可由網路位置或本機端將數位影像上傳至該網站平台進行分析,首先針對上傳分析之影像計算Digest(如MD5、SHA1),並將其計算結果顯示於網頁如圖4所示。
 |
| ▲圖4 上傳影像Digest值。 |
再者,透過系統計算出之ELA(Error Level Analysis,錯誤程度分析)結果提供使用者作為判別之參考依據,它會產生一張暗化的影像作為對照比較,如有產生明亮的區域,則表示影像可能曾遭到竄改,如圖5所示。
 |
| ▲圖5 上傳影像之ELA(Error Level Analysis)結果。 |