本文以iOS作業系統為主的iDevice(如iPhone 5、iPad 2、iPod touch等)作為探討標的,當非法人士以WeChat進行犯罪訊息溝通時,鑑識人員該如何有效地萃取出關鍵的數位跡證,搜尋出WeChat內的對話內容、聯絡人、使用者資訊及影音等紀錄訊息。
對話紀錄
在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」路徑中可以發現副檔名為sqlite資料檔案。如圖7所示,以SQLite Browser打開MM.sqlite的資料檔案後,可以發現MM.sqlite記錄了用戶在WeChat上通訊的內容。此外,還有通訊的時間(UNIX的時間格式)、聯絡人的ID名稱。
在圖7中,MM.sqlite的MesSvrID顯示了兩人對話的順序,但可以發現此順序並不連貫。而經過觀察,發現同時間內如果對話者不只有一位的話,則MesSvrID的順序會依著前一位對話者MesSvrID延續下去,而非再額外產生一組MesSvrID。
|
▲圖7 在MM.sqlite中,兩人的對話紀錄。 |
Status顯示了不同對話者的代號,辨別訊息是由誰發出,從Message中也可以看出訊息的類別,若是文字訊息將以明文顯示,而訊息語音會顯示,圖片則顯示等。
另外,從圖片與音樂的資料夾命名中可以得知,WeChat會以Hash值來識別對話者,在MM.sqlite的對話紀錄中也是以此Hash值來識別對話者,這一串Hash值會接在以Chat_開頭的表格之後,如圖8所示。
|
▲圖8 MM.sqlite儲存對話紀錄的表格。 |
使用者資料
在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/」路徑下的mmsetting.archive,以plist editor打開後,可以找到使用者在WeChat中所使用的ID帳號及註冊的手機號碼。
以上的紀錄檔是在iTools下查看的,iTools會將iTunes備份檔以樹狀結構的方式來排列檔案讓用戶觀看,但是,iTunes產生的備份檔實際上是不會經過編排,都是儲存在同一個資料夾底下,如圖9所示。
|
▲圖9 iTunes的備份檔。 |
從圖9中可觀察到,這些備份檔是沒有加註副檔名的檔案,但卻都有一個獨特的命名(Hash值)。這些檔案中有plist、聲音檔、sqlite資料庫檔、圖片檔,若要正確地開啟這些檔案,必須透過正確的檔案編輯器開啟。
若以16進位編輯器Winhex打開iTunes的備份檔,會發現開啟的檔案中,表頭會帶有檔名特徵的字串,而這些檔名特徵字串就代表了檔案格式,這裡將其整理如下頁表2。
表2 iTunes備份檔的特徵字串
依此規則,鑑識人員可以有效率地檢視iTunes備份檔案,表3則是MM.sqlite與mmsetting.plist的Hash值字串。
表3 iTunes備份檔與原始檔案名稱的對照表
這兩串Hash值在iTunes中是固定產生不會改變的,只要找到這兩串Hash值就可以確定是MM.sqlite和mmsetting.plist,而其他的圖片檔、語音檔則沒有固定的Hash值。
WeChat在iPod touch內的數位跡證
同樣地,在iPod touch內執行與iPad 2相同的流程與步驟,觀察WeChat產生的訊息。與iPad 2相同,在同樣的路徑下,皆可以找到一樣的訊息紀錄檔案。
但在路徑「/var/mobile/Applications」下,將發現檔名為com.apple.weather的資料夾,此資料夾在iPad 2的iTunes備份檔並無存在,而點擊打開後,並沒有任何的紀錄檔。
實例演練
當今資訊化的社會中,在資訊分享上能有更多且效率的方式,如電子郵件、社群網站、通訊軟體等。而社交通訊類的APP是其中被大家點擊下載使用的熱門軟體,朋友彼此間藉由通訊軟體的平台互相聯繫,知道對方的生活消息。但已有案例出現,非法人士透過社交平台進行犯罪交易或欺詐被害人的個人資料,獲取不法利益。
假設A君利用WeChat傳輸訊息不易被執法單位追蹤的好處來進行毒品交易,但執法人員早已獲得通知這宗毒品交易,遂前往A君住處進行搜索。在A君的住處執法人員進行搜尋時,發現了煉製毒品的器具及大量的毒品。眼見事跡敗露,A君向執法人員坦承犯罪的事實,並供出另一人員B君。
A君向執法人員指出B君是負責將煉製好的毒品交給吸毒犯的中間人,有了這一條線索,執法人員遂往B君的住所。但執法人員一到B君的住所時,B君即將一台iPad 2摔壞並將電腦關機,這個舉動更令人懷疑B君是要將犯罪跡證銷毀,避免被掌握到犯罪跡證。