由於App-LINE的使用者占了所有使用通訊App用戶中極高的比例,因此這裡將透過工具來管理Apple iTunes官方軟體所建立的備份資料,並從中萃取及還原出許多手機相關內部資訊,也針對LINE在備份檔案中做相關的鑑識與分析,以協助鑑識人員了解曾使用手機從事何事並進一步釐清真相。
此外,在R所表示接收的行列中,發現「ZSENDER」內所代表的數字(10、19)可以對應另外一個資料表「ZUSER」當中的「ZPK」數值,並可進一步了解使用者傳訊的對象,如圖4所示。
|
▲圖4 ZSENDER與ZUSER內的聯絡人對應。 |
而在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments」資料夾裡更可以找到使用者傳送與接收的媒體檔案,其檔名分類便是對照talk.sqlite檔案中ZUSER資料表內的ZMID欄位,如圖5所示。
|
▲圖5 傳送媒體資訊的檔案紀錄夾與ZMID應對。 |
另外,在「/var/mobile/Applications/jp.naver.line/Library/PreferencesiPhone」資料夾內的jp.naver.line.plist檔案,使用plist Editor程式開啟後,將其拖曳至最下方,便可了解使用者註冊LINE所使用的手機號碼(圖6)。
|
▲圖6 使用者註冊LINE所使用的電話號碼。 |
若以綁架案為例,犯罪者可能使用這種虛擬的社交網路,虛假增進感情,繼而誘騙被害人見面,犯下綁架案。
對此,可藉由此處所介紹的操作,由圖304中的資料找出犯罪者與被害人傳訊的內容,抑或找出犯罪者與共犯的共謀證據。
並且從圖5的資料當中找到其所可能選擇的標的物照片,最後鑑識人員便能夠從圖6中找到犯罪者的電話號碼,繼而掌握相關有力的證據,來協助偵辦案件調查。
結語
隨著科技的快速發展,智慧型手機的功能也日益強大,人們對於手機的依賴已不可同日而語。甚至在通訊上也有部分族群轉為使用通訊APP的方式取代以往傳統的電話、簡訊聯繫方式。
不可避免地,在科技帶來而形成的這種虛擬通訊網路中所潛藏的危機也應該受到重視。此外,iPhone手機也可能因此涉入各類非法使用而淪為犯罪工具。
透過本文的介紹並彙整備份檔案在iTools管理下對於通訊軟體LINE的解析,可以協助鑑識人員在面對此通訊軟體時能夠有助於分析作業。
本文並透過實作,彙整幾個較為重要的原始SQLite資料庫與plist檔案所相對應的備份檔案,讓鑑識人員執行鑑識分析工作時能夠更快速且有效地萃取出重要的數位證據,協助還原現場與事件真相。
<中央警察大學資訊密碼暨建構實驗室(ICCL),
民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>