本文將針對iOS裝置以Apple iTunes官方軟體之備份萃取方式,探討及實測有關通訊軟體WhatsApp的鑑識分析,萃取及測試是否能以相關檢測工具取得相關通訊對話訊息,以協助鑑識人員於智慧型行動裝置的鑑識分析工作。
而且如果是非群組傳送方式(一對一通訊方式),資料夾命名方式為「”對方手機號碼”@s.whatsapp.net」(手機號碼係以國際格式顯示,如手機號碼為886935123456,則資料夾名稱為886935123456@ s.whatsapp.net),倘若是在群組內傳送分享,資料夾命名方式為「”群組管理員手機號碼”-“一組數字”@g.us」(例如886933987654-1411336552@g.us)。
因此,當鑑識人員在蒐集WhatsApp所傳送的多媒體檔案等數位跡證時,就可從其名稱識別是一對一或是在群組中所傳送,進而找出相關多媒體檔案的傳送情形。
在ChatStorage.sqlite的對話紀錄中,主要以資料表ZWAMESSAGE為記錄相關對話內容等資料,如圖4所示。
|
▲圖4 在ChatStorage.sqlite中的對話紀錄。 |
其中的ZMESSAGETYPE欄位會顯示傳送訊息的類型,ZCHATSESSION欄位是對應到資料表ZWACHATSESSION的Z_PK欄位,為識別該對話的訊息是屬於那一個群組或與何人的對話,ZTEXT顯示對話內容,主要的相關欄位儲存內容說明如表2所示。
表2 資料表ZWAMESSAGE相關欄位說明
有關本實驗之iPhone 5S裝置的使用者資訊可以在「/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Preferences/」路徑下的net.whatsapp.WhatsApp.plist,以plist Editor工具程式打開後,可以找到使用者在WhatsApp中所使用之名稱及註冊的手機門號,如圖5所示。
|
▲圖5 在WhatsApp中所使用之名稱和註冊的手機門號。 |
實例演練
青少年聚集毆打某高中學生情形,經調查多日後發現該事件的號召人疑似為犯嫌甲,遂將其請回駐地詢問調查,在犯嫌甲之同意下查看其所使用之iPhone 5S手機,發現內有安裝WhatsApp通訊軟體,並與某乙、丙等兩人有通訊對話的情形(乙、丙兩人均為參與鬥毆之人員),但相關通訊紀錄疑似已遭刪除。
另調查人員持法院核發之搜索票,前往犯嫌甲住處進行搜索,並查扣犯嫌所使用的電腦一台,為了查出犯嫌甲是否涉嫌此次聚眾鬥毆及教唆犯罪情形,於是將手機和電腦均交由鑑識單位進行調查。
鑑識人員取得犯嫌的手機及電腦後,遂依據調查人員的發現,針對WhatsApp通訊軟體進行鑑識分析,首先在iPhone手機上進行調查,以邏輯萃取方式發現相關訊息已遭犯嫌刪除及破壞,於是改使用XRY之實體萃取方式進行,但仍無所獲。
於是鑑識人員再於犯嫌電腦上進行調查,發現犯嫌於電腦有安裝iTunes同步備份軟體,且發現於案發後當天有手機同步備分於電腦的紀錄,遂針對電腦的iTunes備份檔進行鑑識分析。
確定iTunes備份檔是否為標的行動裝置所執行的備份
以plist Editor工具程式打開在iTunes備份檔之「/var/mobile/Applications/net.whatsapp.WhatsApp/Library/Preferences/」路徑下的net.whatsapp.WhatsApp.plist後,發現使用者在WhatsApp註冊的手機門號為886915987654,且其手機型號為iPhone 5S,如圖6所示,經與犯嫌甲所使用手機型號及使用WhatsApp的註冊手機門號核對後,確認是相符的。
|
▲ 圖6 以WhatsApp所使用的手機型號及註冊的手機門號確認iTunes備份檔之裝置來源。 |