針對世界盛行的FB Messenger,以Root後的手機透過ADB工具備份App資料,萃取其資料備份後,利用Cygwin還原成Windows環境可操作的資料,並以SQLite Database Browser對其內的聊天紀錄等資訊分析。藉由這些公開免費的鑑識分析工具,找出目標手機中遺留的通訊紀錄,以揪出跨國犯罪集團的幕後主使者。
數位證據的過程始於保存證物,因此鑑識人員首先以ADB備份實體資料。如圖4所示透過安裝Android Studio,並從〔SDK Tools〕頁籤內找到Android SDK Platform-tools開始安裝,而ADB就包含在Android SDK Platform-tools之中。
 |
| ▲ 圖4 進入下載好的Android Studio,透過介面安裝Android SDK Platform-tools。 |
接著操作成員A的手機,透過進入手機的「設定/開發人員選項」勾選「USB偵錯」開放權限(圖5),讓稍後操作ADB時能夠順利存取。如果在沒有開發人員選項的Android版本或手機品牌,可以藉由進入「系統設定/標準/關於手機/軟體資訊/版本號碼」畫面,在版本號碼上連按七至八下,會出現開發人員的提示,就可以勾選「開發者選項」中的「USB偵錯」,並藉由實體鍵返回。
 |
| ▲ 圖5 開啟USB偵錯。 |
然後為保證證據的完整性,鑑識人員利用ADB做事前的備份,再以備份檔實際進行分析,以避免破壞證物。透過命令提示字元(cmd)使用ADB,輸入「adb pull <路徑內容>」,將手機端(路徑內容)的目標資料複製到電腦端,以完成備份。這個動作的目的是將相關資料夾做實體備份,以保存證物手機的原始資料,屆時可於法庭上證明證據的完整性。
最後,將證物手機整體做備份。如圖6所示即為鑑識人員依循經驗,將比較有可能儲存App相關訊息的「/sdcard/」資料夾全部備份到鑑識人員的電腦中,預設備份至「\platform-tools」資料夾內,如圖7所示。
 |
| ▲ 圖6 以ADB直接複製手機內存檔案。 |
 |
| ▲ 圖7 備份後的資料夾sdcard。 |
另外欲對目標手機及其已安裝的App做進一步的分析,可另外以ADB將整支手機包含根目錄做出備份檔(.ab檔)。輸入要匯出的路徑及檔名後,可以將整支手機的內容存成一個.ab壓縮檔,待備份步驟結束後,於萃取時進一步以其他工具分析。
正常的手機狀態下,是無法直接存取FB Messenger存放資料的路徑,一般存於「/data/com.facebook.orca」之下,由於「data」資料夾無法直接開啟,必須透過Root取得最高權限後才能存取,因此將手機做完Root之後,再依上述步驟產生分析用之.ab檔,如圖8所示。
 |
| ▲ 圖8 以ADB匯出包含根目錄的壓縮檔(.ab)。 |
隨即使用Cygwin並利用「./unpack.sh」指令,如圖9所示,將前項步驟做出的.ab檔還原成可以用Windows環境存取的.tar壓縮檔,以便讀取內容。
 |
| ▲ 圖9 利用Cygwin將匯出的根目錄壓縮檔還原為Windows環境壓縮檔。 |
最後利用SQLite Database Browser對還原的檔案進行資料分析,以檢查出與案情相關的紀錄,隨著分析過程中,果然在「data/data/com.facebook.orca/databases」底下,在「threads_db2」找出FB Messenger中留存的歷史訊息,其中記錄著集團成員A及嫌疑首腦B曾經傳輸的訊息內容,對話提到首腦B要A把入侵遠銀的紀錄清乾淨,不要留下證據(圖10)。鑑識人員並以這兩人的關係持續追緝,最後終於循線破獲這起跨國犯罪集團駭客案,全案做成偵查報告並移送起訴。
 |
| ▲ 圖10 以SQLite Database Browser分析得到嫌犯對話內容。 |
結語
在本文案例中,鑑識人員以大處著眼、小處著手,依照國際電腦調查組織的鑑識流程,先以備份的方式確保證據完整性,再透過各項公開、無額外收費的Windows及Unix工具、指令將範例中嫌疑犯A及B之間在FB Messenger互相傳訊的對話內容萃取出來,並完整呈現跡證存放的位置,有效證明犯罪事實。
除了一般的資訊犯罪外,應用於跨國性的犯罪,藉由隨手可得的公開及免費軟體,不僅沒有侵權的疑慮、減少設備攜行的負擔,更能降低鑑識人員進行分析所需的時間及成本,可成為鑑識通訊軟體時除了付費工具外的另一個選擇。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>