本文將先概略說明手機鑑識證據的來源和萃取方式,再介紹經由鑑識工具和資料分析工具的結合應用,對手機的數位證據進行鑑識,找出有助於鑑識人員的資訊,讓證據自己說話,發揮其協助執法與鑑識單位的最大效益。
在手機鑑識的作業中,資料的萃取部分已有多個工具軟體可供使用,在多個工具的交互運用下,萃取所需的證據並不是問題,目前所面臨的困難,反倒是如何妥善運用這些數位證據,搭配各種驗證、整理方法,使其發揮最大效能。
智慧型手機結合傳統手機功能和PDA功能,無論是商務性或娛樂性,這類型手持裝置均可滿足電子性、機動性、便利性、可攜性的需求,而各家廠商戮力開發相關應用程式、作業系統及操作介面,衍生出平板電腦潮流。
智慧型手持裝置將漸趨普遍,就如同小型電腦,其帶來了便利性及方便性,但相對地,許多犯罪者也可能依賴智慧型手機的功能,存放與犯罪有關的資料或聯絡訊息,因此儲存資料的內容及行動網路的連接狀態,將成數位鑑識的重點工作。
手機鑑識與傳統電腦鑑識最大的不同,在於手機鑑識最終的本質是「互動」,而電腦鑑識則較缺乏衍生證據的分析、整合,例如由通聯紀錄當中比對出收發話的狀況,了解手機持有人社交狀況。
手機鑑識
關於手機鑑識,以下從手機鑑識和資料萃取兩方面來加以說明。
鑑識方法說明
因為鑑識目的的不同,在進行鑑識工作時也就會運用不同的鑑識方法,假設僅僅只是進行手機通訊狀況的檢視,那麼只要運用人工檢驗即可。
若是手機硬體可能潛藏著有鑑識價值、已遭刪除的證據,則必須運用記憶體檢視來進行鑑識,依照對智慧型手機內部觸及程度,由淺至深,大略可以分為以下三種鑑識方式:
1. 人工檢驗(Manual Examination)
此方法雖易於使用,但證明力卻是最薄弱,因為以人工(例如對手機進行拍照或是錄影)的方式從裝置上顯示的資訊抓取資料,易於出現人為的疏失,如主觀蒐證或不小心存取資料,影響證據力。
雖然人工檢驗的證據蒐集方式最為簡單直觀,也最為清晰明瞭,但其證據蒐集的範疇僅限於手機表面的操作內容,無法觸及較深層的資料,而蒐集的資訊也較難以分析和評斷。
2. 連結服務(Connectivity Services)
此為透過命令/?回應的協定,將行動裝置連接電腦,以類似同步的方式進行手機資料萃取的鑑識方法。透過此方法分析萃取出的資料,有兩種應用方式,其中一種是利用手機製造商隨機附贈的軟體(如HTC Sync),但它有可能會改變手機內部檔案的原始狀態。
另一種應用方式是使用專門為手機鑑識開發的軟體如XRY、OPM,這些專業軟體較無上述方法修改到檔案的風險,因為其操作過程中會減少修改原裝置檔案的存取動作,保護檔案的完整性。
本文實例棌用後者方法對行動裝置的數位跡證萃取分析。採用此方法好處是,證據資料易於使用、證據內容多元化、便於操作等。
3. 連結代理程式(Connection Agent)
這個方法是將連結代理程式安裝至手機裝置,建立起裝置和工具軟體之間連結和交換資料的管道。Connection Agent方法和Connectivity Services不同的地方,在於不使用既有的協定,較為客製化。其優點是能夠獲得更多的資料,缺點則為目標裝置內會多出一段程式,因而會破壞原裝置的完整性。
手機鑑識方式的選擇,會因所需標的或是鑑識目的的考量,而有所不同的鑑識方法,若需要全面性地掌握手機內的數位跡證,則必須採取更具侵入性的鑑識方法,而其花費的成本、所需的時間及要求的技術程度也會愈高。
因此,在進行鑑識工作前,必須先對鑑識工作的任務和目標有所認識,選擇最合適的鑑識方法,才能最有效率地進行鑑識工作。而上述所列的的鑑識方法則可構成手機鑑識的層級系統,如圖1所示。
|
▲圖1 各項行動裝置鑑識方式建構出鑑識層級。 |