本文將討論因應行動裝置而興起的無線技術,探討其對數位鑑識人員的幫助。若犯罪者使用了智慧型裝置的無線功能,數位鑑識人員可以據此找出犯罪者的活動紀錄。這裡將使用Android SDK提供的ADB工具針對智慧型手機進行萃取,並分析使用者從事之任何活動以釐清事實。
Instagram
Instagram是由Kevin Systrom與Mike Krieger共同創辦,並於2010年10月首次推出,是一個提供免費線上圖片及視訊分享的社交應用程式。使用者可以用智慧型手機拍下照片,再利用其內建濾淨效果添加到照片上,分享至Instagram或其他社交網路,也可以關注其他使用者的分享、建立好友關係,以及互相分享或收藏等等。
Dropbox
Dropbox是一個免費、跨平台且支援繁體中文的線上資料同步軟體,提供2GB的免費空間讓用戶可以隨時隨地存取所有的相片、文件和影片。一旦在電腦上安裝Dropbox,儲存在Dropbox上的任何檔案都會自動儲存至用戶所有的電腦、手機及Dropbox網站。
Orweb
Orweb為一手機無痕瀏覽器,Orweb會繞過防火牆和限制,達到匿名瀏覽及無瀏覽紀錄的效果,其能靈活地控制Cookie,同時也可防範Flash的漏洞,保護使用者的隱私,讓網頁瀏覽者能夠安心上網。
實驗操作
大部分的使用者會利用智慧型手機連接Wi-Fi來瀏覽網站,抑或在社交應用程式上發布貼文,分享生活近況等等。
但在沒有Wi-Fi的情況下,藍牙便是一個方便的分享技術,因此本實驗基於一般使用者的操作習慣而設置以下五種情境:
- 情境一:開啟手機藍牙功能,傳送檔案至另一支手機,正常使用手機10分鐘,萃取手機資料。
- 情境二:開啟手機藍牙功能,拍照並傳送照片至另一支手機,將手機中的照片刪除,正常使用手機10分鐘,萃取手機資料。
- 情境三:將手機連接到 Wi-Fi,在Instagram上發布貼文,正常使用手機10分鐘,萃取手機資料。
- 情境四:將手機連接到Wi-Fi,上傳資料到Dropbox,正常使用手機10分鐘,萃取手機資料。
- 情境五:將手機連接到Wi-Fi,開啟Orweb無痕瀏覽器瀏覽網頁,萃取手機資料。
透過各種情境,並利用鑑識步驟萃取出智慧型手機內的資料加以分析,除了讓一般使用者知悉其不以為意的使用可能會造成什麼風險外,也提供鑑識人員在證據萃取上的重要依據。以下先介紹實驗操作過程。
取得手機最高權限
網路上已有許多取得手機最高權限的教學,而本篇實驗使用towelroot v5來取得手機最高權限,而實驗手機為Sony Xperia TX LT29i,Android作業系統版本為4.3。取得手機最高權限步驟如下:
- 1. 下載towelroot v5。
- 2. 開啟手機,依序點選「設定」→「安全性」,然後
勾選「不明來源」。
- 3. 點選「設定」→「關於手機」,持續點擊「軟體版
本」,直到成為開發人員。
- 4. 再點選「設定」→「開發人員選項」,然後勾選
「USB偵錯」。
- 5. 連接手機至電腦。
- 6. 開啟towelroot v5,並依照指示步驟操作。
- Root成功,如圖1所示。
|
▲圖1 Root成功。 |
下載並使用ADB
至Android Developers網站下載ADB工具(http://developer.android.com/sdk/index.html),下載完畢後開啟Windows命令提示字元,轉換路徑至ADB工具放置的資料夾,如圖2所示。
|
▲圖2 轉換目錄至ADB工具放置的資料夾。 |
再使用手機操作上述情境,操作完畢後利用USB傳輸線將手機連結到電腦。
輸入「adb devices」指令,可以看到連接到電腦的Android裝置,如圖3所示。
|
▲圖3 輸入「adb devices」指令。 |
先輸入「adb shell」指令,接著再執行「su」命令,即可以最高權限的使用者身分輸入指令,如圖4所示。
|
▲圖4 轉換成最高權限使用者身分。 |
萃取查看日誌紀錄
Android日誌系統提供紀錄及查看的功能,利用logcat這個指令,即可萃取各個軟體與系統的緩衝區的日誌紀錄(Log)。
在命令提示字元中輸入命令「logcat -d -v time -b main > /sdcard/main.txt」,其中「-d」指dump,將Log印出後自動結束,不會將Log清除,若下次再執行會重頭開始印;「-v」可用來控制輸出的格式,預設沒有印出日期時間,因此在後面加入「time」,告訴logcat要印出時間。
另外,因為Android日誌系統有循環緩衝區,為了得到日誌紀錄,必須透過「-b」參數來啟動logcat,而參數「main」可印出主要的日誌緩衝區,而印出的Log會以main.txt(檔案名稱自訂)儲存於手機的sdcard,如圖5所示。
|
▲圖5 印出主要事件緩衝區日誌紀錄。 |
此外,這裡也印出相關事件(Events)緩衝區的日誌紀錄,如圖6所示。
|
▲圖6 印出相關事件緩衝區日誌紀錄。 |