本文將先概略說明手機鑑識證據的來源和萃取方式,再介紹經由鑑識工具和資料分析工具的結合應用,對手機的數位證據進行鑑識,找出有助於鑑識人員的資訊,讓證據自己說話,發揮其協助執法與鑑識單位的最大效益。
通聯紀錄、聯絡人及移動區域之整合分析
在通聯紀錄分析後,接著加入移動區域進行下一步的分析。智慧型手機通常利用Google Map的圖資以提供定位、地圖景點查詢等功能(圖8)。
|
▲圖8 手機內利用地圖程式進行定位。 |
在XRY鑑識作業中,能夠將手機曾經進行過GPS定位的紀錄如時間、經緯度等圖資訊息萃取出來(圖9)。
|
▲圖9 XRY萃取出包含手機定位時間、定位地點的資料清單。 |
藉由XRY將其資訊匯出為.kmz檔後,再匯入至Google Earth,可於地圖上標示出進行定位的地點,便於進行行動軌跡分析。
如圖10所示,可根據所標記的時間與地點,推斷出楊姓線民近期是由南向北、於東北部一帶行動、收款。
|
▲圖10 將手機定位時間及地點匯入Google Earth,並標示於地圖上。 |
傳統對於手機關聯分析及移動區域分析的方式,均須仰賴電信公司提供的通聯紀錄資料,造成各種欄位資料運用方式有限,使其移動區域紀錄也限定於收發話的時候。
若能配合行動裝置鑑識的結果,除了可就兩方資料進行交叉驗證外,行動裝置GPS定位的資料也可與基地台的紀錄互相補足。
而行動裝置內儲存的聯絡人資料,也可以協作社交圈建構的推斷,或是應用於鑑識人員進行違法事件調查,如下頁圖11所示。
|
▲圖11 傳統與行動鑑識的證據可供交叉驗證、互補分析。 |
在對鑑識標的行動裝置進行通聯分析和移動區域分析後,統整此兩項資訊,除了對楊姓線民的來往對象及通話態樣有所了解外,另配合移動區域,可分別以通話頻率、聯絡對象、所在地點,藉此整合兩項數位證據資料的分析結果,尋找其關聯性和特殊態樣,以利執法人員分析資訊,追緝嫌犯,如表5所示。
表5 將通聯紀錄與定位鑑識結果配合,製表找尋關聯性
根據以上的鑑識模式,在本情境中,楊姓線民蒐集或得知的任何資料,不需要親自整理,或者是特地以紙本的方式記錄傳送給相關執法單位。只要自然地利用手機在通訊聯絡過程中所留下的紀錄,在最後一併交由鑑識人員進行鑑識,包括通聯關係和移動區域的脈絡就可以清楚地被整理出來。
鑑識人員可從以通話次數為脈絡的分析當中,鎖定來往密切的關係人,再由以時間為脈絡的通聯分析當中,比對聯絡人通話的特殊習慣或規則,找出非法集團上游的指揮人、其他聯絡人,並且證明其互動狀況。
此外,在GPS地圖定位的功能協助下,楊姓線民的活動範圍可輕鬆地在軟體上顯示,這些證據就足以證明販毒集團在某段時間內的活動區域和移動路徑,使其在落網後百口莫辯。
如此一來,楊姓線民不但不必擔心身分曝光,手機的數位證據搭配視覺化的方式表現,鑑識人員在證據的整理、分析上,也不用費心於解讀其深層意義,藉由將生硬的資料轉換為容易理解的圖表、連線,自然就說明了一切事實。換言之,證據說話了。
結語
本文著重對通聯紀錄的來往關係進行關聯分析、移動區域分析,試著以此種方式解決目前行動鑑識上遭遇的新難題。
智慧型手機的出現,使得行動鑑識的發展逐漸受到重視,其便利性和多功能的整合特性,讓人們對它的依賴性與日俱增,使其可能擁有比個人電腦更多值得鑑識的資料,而在電腦鑑識上的經驗,使得在進行手機鑑識時,會先著重於手機資料的萃取和保存。
但除了研究鑑識工具和證據萃取方式外,也不能忽略其以「互動」為主的本質,利用智慧型手機鑑識出的數位證據,能夠有效地分析出持有人之人、事、時、地、物狀態,讓證據自己說話,達成其協助執法和鑑識單位作用的最大效益。