Wi-Fi 手機 藍牙 鑑識

解析手機藍牙Wi-Fi紀錄 傳輸瀏覽歷程一覽無遺

本文將討論因應行動裝置而興起的無線技術,探討其對數位鑑識人員的幫助。若犯罪者使用了智慧型裝置的無線功能,數位鑑識人員可以據此找出犯罪者的活動紀錄。這裡將使用Android SDK提供的ADB工具針對智慧型手機進行萃取,並分析使用者從事之任何活動以釐清事實。
最後,再將兩個日誌紀錄傳送到電腦,先輸入兩次「exit」,接著再使用「adb pull」指令即可,如圖7?8所示。


▲圖7 將日誌紀錄傳送到電腦。


▲圖8 已傳送到電腦。

複製並分析手機記憶體

接著對手機記憶體進行複製並分析,利用dd這個指令可以快速對手機進行以位元為單位(bit-by-bit)的實體複製(Physical Imaging)。

在此之前,先在手機上安裝Busybox,可從Play商店中找到,如圖9所示。


▲圖9 安裝Busybox。

接下來,在命令提示字元中輸入「busybox df -h」指令以辨認手機記體的分割區(Partitions),如圖10所示。


▲圖10 手機記憶體的分割區。

再輸入「mount」以得知分割區的檔案系統(File System),如圖11所示。


▲圖11 分割區使用的檔案系統。

以Userdata分割區為例,在圖10中可以看到Userdata的資料位於「/dev/block/platform/msm_sdcc.1/by-name/Userdata」,因此在命令提示字元中輸入「busybox dd if=/dev/block/platform/msm_sdcc.1/ by-name /Userdata of=/mnt/sdcard/userdata.img conv=noerror」。

以上指令中的of之後為輸出的位置,儲存在手機sdcard中並取名為「userdata.img」(名稱自訂),「conv=noerror」則為確保出錯時不停止處理,完成後如圖12所示。


▲圖12 製作完成Userdata.img。

最後要將製作完成的檔案輸出到電腦中,同樣使用「adb pull」命令,如圖13?14所示。


▲圖13 將檔案輸出到電腦。


▲圖14 顯示輸出的結果。

最後使用Freeware Linux Reader for Windows來掛載(Mount)檔案,如圖15?16所示。


▲圖15 用Freeware Linux Reader for Windows掛載檔案後出現了「/data 1」。


▲圖16 打開「/data 1」進行查看。

結果分析

取得相關紀錄檔案之後,依循各種不同的情境,就可以找出隱藏其中的重要線索。

相關證據

相關證據的分析,將從藍牙傳輸和Wi-Fi傳輸兩部分來加以說明。

藍牙傳輸
從萃取出的日誌檔案main.txt與events.txt中,可以看到萃取動作前的活動紀錄,由於日誌檔案儲存在智慧型手機的循環緩衝區(Circular Buffers)內,且儲存的空間不大,本實驗的手機僅能儲存萃取動作前約一小時內的活動紀錄,如圖17?18所示。


▲圖17 日誌紀錄保存的起始時間。


▲圖18 日誌紀錄保存的最後時間。

此外,從掛載檔案中的「/data\data\com.android.bluetooth\shared_prefs\OPPMGR.xml」檔案,可得到檔案的分享紀錄,如圖19所示。


▲圖19 顯示檔案的傳輸紀錄。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!