目前使用率極高的社群網站Facebook,其附屬的聊天軟體Facebook Messenger App近來常被作為犯罪的通訊工具,對此本文將針對該App以Android 4.0以上版本的手機採用adb模式及backup指令進行萃取,並將萃取之資料透過SQlite軟體加以分析及重組,讓Facebook Messenger App鑑識結果清楚呈現並能快速分析。
使用工具
本次實作將會使用到資料萃取工具、Sqlite Expert Personal管理程式以及Android手機,以下分別說明其使用要點。
資料萃取軟體
資料萃取部分,本文採用adb模式以backup指令進行萃取,這種方式可針對尚未root過的Android手機進行使用最高權限的備份,即是所謂的adb模式。
如圖4所示,係屬Android SDK(Software Development Kit)提供之工具,常被Android程式開發者所使用,便於檢測程式有無執行錯誤並且進行
除錯。
|
▲圖4 使用adb備份畫面。 |
另外,透過備份方式所萃取的資料為副檔名.ab檔案,因Android為Linux核心底下所開發,為了能夠成功地將資料提取出來,需透過Cygwin將.ab檔案解壓縮,其中Cygwin是許多自由軟體的工具包,用於各種版本的Microsoft Windows上執行類UNIX系統,簡而言之,亦即在Windows下可以使用Linux終端機的指令。
Android智慧型手機
本次所使用的Android智慧型手機為4.3的作業系統版本,手機製造品牌為Samsung。相較於iOS作業系統,官方提供了軟體iTunes可進行iPhone手機的備份,Android作業系統的手機並沒有提供統一的官方備份軟體。
目前採用Android作業系統的手機有Samsung、HTC等多家大廠,係各自提供不同備份軟體,本文為了讓備份方式不會隨手機廠牌而有所不同,因此採用Android SDK(Android軟體開發包)所提供的工具,可直接藉由adb指令進行備份。
Sqlite Expert Personal
Sqlite Expert Personal是一套圖形化的SQLite管理軟體,SQLite Expert Personal不但可以瀏覽SQLite內儲存的資料,同時也可進行新增、修改、刪除等資料庫操作,如圖5所示。
|
▲圖5 Sqlite Expert Personal操作介面。 |
App資料庫鑑識與分析
App資料庫的鑑識與分析,可從Facebook Messenger的資料庫(常用內容分析)、透過SQLite在Facebook Messenger的應用(將重要資訊擷取出來)兩方面來加以說明。
Facebook Messenger的資料庫—常用內容分析
將Facebook Messenger App萃取所得之資料加以分析應用,最主要是針對訊息的還原以及找出聯絡人的相關資料,Facebook Messenger App的訊息紀錄以及聯絡人等,主要是分散儲存在各個資料庫
之內。
為了便於鑑識人員直接獲取重要資料,本文透過SQLite合併及顯示主要內容,使分析時更能完整呈現,以下先針對相關資料庫及欄位加以說明。
本文所用到的Facebook Messenger App資料庫,主要是在「/data/data/com.facebook.orca/databases/」目錄底下,當中的threads_db2、stickers_db、contacts_db2三個資料庫檔案,以及其中的messages、threads、stickers、contacts和contacts_indexed_data五張表格,為訊息及聯絡人主要的存放點,其內容彙整如表1所示。
表1 訊息相關之表格內容及所屬資料庫