將此篇文章跟 Facebook 上的朋友分享將此篇文章跟 Plurk 上的朋友分享將此篇文章跟 Twitter 上的朋友分享列印轉寄
2018/4/18

第一時間Android採證鑑識 正規流程確保證據效力

活用免費工具備份分析 萃取手機FB對話紀錄

中央警察大學資訊密碼暨建構實驗室(ICCL)
針對世界盛行的FB Messenger,以Root後的手機透過ADB工具備份App資料,萃取其資料備份後,利用Cygwin還原成Windows環境可操作的資料,並以SQLite Database Browser對其內的聊天紀錄等資訊分析。藉由這些公開免費的鑑識分析工具,找出目標手機中遺留的通訊紀錄,以揪出跨國犯罪集團的幕後主使者。
以往在偵查犯罪的過程,調閱通聯紀錄是最有效的方式,組織成員在聯絡的過程中總少不了撥打電話往返,只要鎖定幾組門號,透過行文向電信業者調閱紀錄即可快速蒐集證據。然而,隨著VOIP的興起以及4G網路的普及化,各家通訊軟體大都會提供語音通話的功能,而這些通訊軟體傳輸的過程大都經過加密,且跨國向這些通訊軟體業者調閱通訊紀錄困難重重。因此,以前最有效的辦案利器,在今日已不如以往犀利。

而在現今社會進步、民意高漲的時代,民眾法律觀念比起過去已成熟許多,不僅是政府的決策受到監督,第一線鑑識人員的執法過程也是公民監督的重頭戲。尤其是在發生刑案時,當事人為了保障自身的權益,對於執法過程的合法性更是重視,早期屈打成招的陋習自不必提。

此外,各種昂貴鑑識工具的採購及維護,對執法機關來說更是一種負擔。儘管這些工具確實對偵辦案件占有舉足輕重的地位,但在第一線時有急迫處理需要,必須即時保存證據,單位內僅有的幾組工具往往來不及處理。因此,若有官方公開分享或提供免費使用的分析工具,對鑑識人員將是一大助力。

相關背景知識介紹

以下簡單說明通訊軟體鑑識的發展歷程,並扼要介紹鑑識目標軟體Facebook Messenger的功能與現況。

通訊軟體鑑識演進

早期行動裝置本身有無Root將影響跡證的萃取,經由在Orweb的測試後,發現較重要的跡證通常都須經過Root後才可找到。隨著時代變遷,現今主要的手機通訊模式已漸漸由簡訊轉成通訊、社群軟體,於是分析市面上20種不同的通訊及社群軟體的資料存取方式,並研發Datapp自動化地分析通訊軟體的活動。

除此之外,Android開發人員所使用的開發工具由於可直接對手機下指令,因此也成為了鑑識人員的工具,藉由Android Debug Bridge(ADB)指令搜尋留存於手機內的簡訊、電子郵件等Log紀錄,藉以進一步探討使用智慧型手機所留下的各種跡證。

Facebook Messenger簡介

Facebook Messenger(FB Messenger)是Facebook提供文字和語音服務的即時通訊服務和軟體應用程式,Facebook從2011年8月開始推出Messenger功能,而截至2017年4月,FB Messenger的使用者已經達到12億。然而,眾多的客群帶來的不只是收益,隨著使用人數的增加,不同面向的使用者也跟著增長,以熱門軟體作為通訊手段的犯罪集團越發蓬勃,隨著通訊軟體的發達,各種針對熱門軟體的攻擊也相應而生。

這篇文章讓你覺得滿意不滿意
送出
相關文章
行動鑑識雲端硬碟跡證 還原App遺留於手機資料
監看錄影程式成洩密管道 循線偵查破解數位跡證
識破盜用帳密手法 蒐證鑑識還原嫁禍真相
無痕瀏覽掩護XSS攻擊 記憶體鑑識揪出罪證
隱形跡證撿出金鑰 破解BitLocker全機加密
留言
顯示暱稱:
留言內容:
送出