Facebook Messenger App Facebook 網路犯罪 臉書 鑑識

還原臉書即時通App紀錄 鑑識解讀數位證據

目前使用率極高的社群網站Facebook,其附屬的聊天軟體Facebook Messenger App近來常被作為犯罪的通訊工具,對此本文將針對該App以Android 4.0以上版本的手機採用adb模式及backup指令進行萃取,並將萃取之資料透過SQlite軟體加以分析及重組,讓Facebook Messenger App鑑識結果清楚呈現並能快速分析。
透過SQLite在Facebook Messenger的應用—擷取重要資訊

這裡將說明在SQLite語法中如何協助鑑識人員分析Facebook Messenger,其作法是先透過備份(或鑑識)軟體將資料萃取出後,再將「data/data/com.facebook.orca/databases/」中的資料庫檔案複製得出,以便分析所用,並利用SQLite Expert Personal開啟相關資料庫加以分析。

以下係針對較實用的語法加以說明,好讓讀者可以透過該SQLite語法加以應用,增加Facebook Messenger App訊息之可讀性。

datetime
在Android的SQLite資料庫中,因Android本身是架構在UNIX上,Timestamp儲存方式採用UNIX的時間格式,可讀性較差,雖網路上有許多UNIX時間轉換的工具,惟耗時甚鉅,況且在實務調查案件中,需要的是西元或民國的時間來與案情做連結,故可透過該語法將UNIX的時間轉為正常的時間(西元格式)模式,有助於閱讀上的理解,其轉換結果前後如圖6所示。


▲圖6 Timestamp轉換前後比較表。

INSTR、SUBSTR及LENGTH
資料庫中雖存放了許多訊息,但不是所有訊息對於分析均有直接的幫助,本文偏向於先取出對調查案件有直接關聯的資訊,以messages表格中的pending_send_media_attachment為例,除了本身紀錄所發送的多媒體訊息存放位置外,亦記載fdid等等的資訊,而對於訊息還原部分,重點只有訊息存放位置。

該INSTR主要是回傳關鍵字於特定欄位中出現的位置、SUBSTR主要是用來在特定欄位內使其僅顯示中間文字,而LENGTH則是顯示該欄位的文字長度,上述語法透過搭配使用,可將重要資訊擷取出來,針對pending_send_media_attachment欄位擷取之前後比較如圖7所示。


▲圖7 透過語法擷取重要文字的比較圖。

其他基本語法
如SELECT及LEFT OUTER JOIN等,主要針對資料庫做合併或查詢等工作,因為許多重要資料是分散存放於各個資料庫或表格中,且均有其對應的Key值加以連結,透過合併來查詢,有助於增加分析的效率。

一般而言,可先透過顯示常見欄位,再透過不同表格的合併,找出需要的資料,以圖8為例,就是找出特定對話群組中的對話訊息(含文字及多媒體訊息),進而還原原始訊息狀態。


▲圖8 透過SQLite語法還原出特定群組的聊天訊息。

中實例演練

嫌疑人David因案遭查獲毒品,當時查扣了相關證物、毒品、手機等物,惟製作筆錄時,嫌疑人David僅承認持有及施用毒品部分,但因查獲毒品數量龐大,藉由手機鑑識,進而發現其有販毒的情事及其購毒的對象。

案例背景

David利用手機做為販毒工具,所使用的手機為Android智慧型手機,主要是透過手機App通訊軟體「Facebook Messenger App」進行毒品販賣之聯繫管道,為了方便,有時用語音訊息或相片方式作為提示,其對話內容如圖9所示。


▲圖9 嫌犯David與對象丹尼爾進行毒品交易之內容。

鑑識與分析

利用備份軟體(方式)對David所使用的Android智慧型手機進行萃取。萃取後,針對路徑「/data/data/com.facebook.orca/databases/」的資料,以複製檔案進行分析,避免直接分析所萃取出的原始證據而導致證據資料可能不慎被破壞,進而影響證據能力,而資料庫分析則透過Sqlite Expert Personal軟體進行。

在資料庫分析中,發現threads_db2中的messages找到David的對話紀錄,但因紀錄龐大且Messages僅顯示發送者而無成員全體,卻仍要和threads_db2中的threads比對,繁瑣又無效率,故先將常用資料庫threads_db2、stickers_db載入後,透過上面所提的SQLite語法加以合併轉換。

考量日後分析方便使用,所以將需要的內容取出,另建立一個名為Finish的表格,其表格主要是顯示聊天成員、發送訊息者、發送文字訊息內容、發送表情符號之對應網站、發送多媒體訊息的存放位置、發送時間、所使用載具及多媒體的檔案格式等常用訊息。

所產生的Finish表格,除有助於鑑識人員分析外,也可做進一步的調查,便於縮減時間,例如透過Select語法,除了找出text欄位內是否有出現關鍵字外,亦可找出與特定人的對話,並透過時間排序來了解對話內容(含多媒體訊息或表情符號等),而且將對應的多媒體訊息直接由對應的位置開啟,還原當時對話的情形,如圖10所示。


▲圖10 產生Finish表格內容後,透過Select所找出的對話內容。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!