手機雙開App隱藏跡證　數位鑑識仍可明察秋毫

日前警方接獲飯店業者報案，一名女子陳屍在VIP套房床上，員警趕赴案發現場，該名女子年約30多歲（以下簡稱S女），衣著完整且身體無明顯外傷，但疑似出現中毒現象，死亡時間超過12個小時。

現場遺留S女的皮包及手機，警方經初步檢視發現，S女手機中的相簿居然空空如也，也未發現WhatsApp或WeChat等聊天類的App，不禁令人懷疑似有遭到人為滅證的跡象。

此時驚傳金管局遭到廉政公署（以下簡稱ICAC）的大動作搜查，據消息指出應與1年前的鉅額超貸案有關。ICAC查扣了大批資料及電腦外，也把金管局連同局長在內的多名高階主管請到署裡喝咖啡，看似平靜無波的政局，實則暗潮洶湧。

社會矚目命案未破輿論壓力撲天蓋地

S女命案在各大電視台及網路媒體全天候大肆報導的情況下，使得金管局遭到搜索一案並未受到多大的關注，而S女的死因眾說紛紜，究竟是自殺或是他殺？是為財還是為情？成了大家茶餘飯後的熱門八卦討論話題，甚至還有謠言說S女是某位政府高層的小三，被影射的官員們莫不紛紛走避媒體追問。

愈是受到社會矚目的案件，破案壓力便愈是沈重，S女遺留在現場的手機已火速送達實驗室。鑑識人員採用專業手機鑑識工具進行提取，由於S女的手機搭載的是MTK晶片，如此一來便有機會化不可能為可能，利用提權的手法達成暫時取得裝置最高權限的效果，儘管手機遭到嚴重程度的滅證，鑑識人員仍在尚存的跡證中找到了一些蛛絲馬跡，那就是IG的暫存檔，如圖1所示。

警方曾至S女任職的知名跨國金融集團進行了解，專案小組為該集團取了個代號：「Z記」。Z記高層對此案三緘其口，僅表示S女擔任公關部經理一職，平常未與人結怨，強調S女之死與公司無任何關連。據知情人士表示，Z記向來十分低調，但其政經實力絕不容小覷，從其歷年來曾陸續發生過幾次重大違失，卻仍能屹立不搖可見一斑。

金管局上下都說局長總是一副撲克牌臉，私底下都管他叫「老K」，此刻老K正在ICAC的接待室裡抽著菸，神色泰然自若。老K心中早有盤算，料定ICAC目前尚未取得任何進展，也就沒有理由再繼續將他及手下留置。果不其然，當天下午老K及其手下們就被告知可以離開了，僅要求留下手機並配合解鎖以供調查。老K滿不在乎地將手機解鎖交出，令在場的幹員感到訝異不已，這可與他們原本的預期大相逕庭。在老K座車駛離後，ICAC高層下達指示，派員持續對老K進行跟監。

鑑識人員從S女手機中的IG暫存檔，查到了為數不少的照片，這些毫無疑問成了重要的調查線索，有待逐一釐清過濾。在歷經了數天的清查之後，幾乎全是S女的日常生活點滴，包括拍美食、旅遊美景等等，其中部分照片的Exif資訊中可得知拍照地點的經緯度資訊，目前尚未從照片內容之中查到進一步線索。

ICAC的鑑識團隊此時也是忙的焦頭爛額，老K手下們的手機裡未找到什麼重要線索，最棘手的是老K的那支才上市沒幾個月的安卓手機，即便已處於螢幕未鎖定的不設防狀態，試遍了所有手機鑑識工具卻皆未能奏效。幾個加起來價值上百萬的頂級鑑識工具，居然都只能從一支已解鎖的手機撈到一丁點的資料，會議室裡充斥著長官們的大聲咆哮，令專案小組壓力倍增。

發現些許可疑跡象惟重要跡證付之闕如

數天之後，S女的手機送到了R的面前，在了解案況及檢視現有跡證之後，令R好奇的是，照片裡要嘛是S女跟三五好友合照，要嘛就是美食、美景，但從S女家屬透露的訊息卻顯示S女身邊應是有護花使者才是，但照片中卻毫無所悉。R決定從部分帶有Exif資訊的照片下手。

從這張飯店房間內的照片，看不出有任何可疑之處，但Exif資訊已明白透露了地理位置資訊及時間點，如圖2所示，R亦查詢了當時在該飯店舉辦的所有活動，看看有何值得留意之處。

另一方面，R持續對S女的手機進行取證工作，此時一個代號為「JPx」的App引起了R的注意，它可用來存取頗受歡迎的老牌社群平台（代號為Pxx），如圖3所示。接著，R提取了JPx的主要設定檔，赫然發現使用者登入帳號及密碼就在其中，如圖4所示。

R利用這一組帳密進一步調查，便有效掌握了S女以該帳號於Pxx平台所進行的活動歷程。而該帳號的註冊資訊明顯與S女本人無關，研判S女應是以買來的帳號在該平台活動。R發現當中有不少為Z記擦脂抺粉的文章外，甚至還有為金管局政策措施護航，以及吹捧老K政績的帶風向文。若再對照前述清查S女曾入住過的飯店的活動舉辦狀況，當中確有多場是與金融相關的研討會，除邀集國內外專家學者與會之外，金管局局長皆有受邀蒞臨。若將這些資訊串連在一起，老K與S女之間可能還有某種交集也說不定。

此時關鍵便是在老K身上了，巧合的是，老K那支安卓新機也送到了R的面前。ICAC鑑識團隊所面臨的困境R也是清楚的，安卓高版本手機的取證愈來愈不容易，更何況是剛上市不久的新機，對鑑識工具的研發團隊來說，自然也是要花上些時間才能研究出取證手法，因此新近上市手機的取證空窗期必然是存在的。

ICAC高層認為既然要講求科學證據辦案，在未能取得相關跡證的情況之下，自然也就無法證明老K有為Z記護航或收賄等情事。警方雖也懷疑S女的命案可能與老K有關，但亦苦於並無進一步的線索。正當ICAC與警方組成的聯合調查專案小組打算將此案簽結之際，傳出R已順利地破解老K的手機，取得WhatsApp關鍵對話內容的好消息。

真相終於大白清楚還原事發經過

專案小組喜出望外，便再度將老K帶回偵訊，當出示所取出的關鍵對話內容時，老K頓時面如死灰，心防徹底潰堤，便娓娓道來案發當晚詳情。老K與S女起初因公事而相識，漸漸地互有好感，進而發展成地下戀情，每次幽會時老K皆會喬裝打扮以免遭狗仔跟拍。

案發當晚，S女在飯店房內等老K到來，老K卻姍姍來遲，加上S女認為老K似乎變心了，不再像過去那樣愛她，S女因此長期陷入嚴重的憂鬱而無法自拔。當晚兩人再度因為此起了嚴重口角，老K甚至說出以後不再見面，要S女不要再糾纏他的話。

S女頓時傷透了心，便趁老K淋浴之際，吞下毒藥企圖尋死，當老K步出浴室時，眼看S女倒臥床上沒有了呼吸，便慌了手腳，心裡只想著絕不能讓此事曝光毀了前程。此時，老K心一橫便拿起S女的手機進行滅證，然後迅速離開。

案情至此已完全明朗，雖然S女不是遭老K殺害，但老K坦誠確有收受Z記的賄款及瀆職等情事，全案總算宣告偵破，老K遭到檢方起訴求以重刑。但專案小組還有一事尚待釐清，令他們百思不解的是，何以上百萬的鑑識工具辦不到的事，R卻辦到了呢？

R笑著說道，當執法人員要求嫌疑人配合解鎖時，往往愈是心裡有鬼的人，愈會想盡辦法找各種藉口拒不配合。至於老K呢？儘管臉上表情明顯不悅，但仍配合解鎖以示其坦蕩接受調查，的確頗出人意料之外，但這就更意謂著要十分謹慎小心，老K當時嘴角不經意揚起的笑意似是在嘲笑著能奈他何。

應用雙開App很可疑霧霾散去曙光乍現

鑑識工具毫無所獲，並不代表老K的手機就真的全然沒有任何相關跡證，或許老K可能早就做好了反制取證的準備。R仔細檢視著老K的手機，突然一個應用程式引起了R的注意，一個名為Dr.Clone的國外App，如圖5所示。

R便點擊執行該App，不料一個要求解鎖的介面映入眼簾，如圖6所示，真是此地無銀三白兩，R心想不愧是老K，果然城府深沈，不僅深諳手機鑑識工具僅支援常見應用程式的盲點，更運用App本身設定的密碼保護機制以確保只有自己能存取。那麼這個Dr.Clone裡究竟隱藏了什麼秘密呢？

一查發現它竟是個應用雙開的App，R拿了支測試機以LINE為例進行說明，手機之中原就裝了一個LINE，當使用了Dr.Clone，如圖7所示，便可再開一個分身的LINE，且本尊與分身的LINE可同時並存。若是本尊LINE用於正常社交，而分身LINE用於從事不法行為，這樣一來是不易被察覺的。

藉allowBackup備出證據找出最後一塊拼圖

同時，老K利用Dr.Clone可設定密碼鎖或圖形鎖的機制，自然是希望除了他本人以外不會有其他人可存取他雙開的App，他也料定鑑識工具對付不了他的手機，這便是老K有恃無恐的原因所在。

即便如此也不應輕言放棄，R突然靈光一閃，想起安卓平台上的App有一個特性可加以利用，關鍵就在於Dr.Clone的「allowBackup屬性」。

經檢視Dr.Clone的主要設定檔後發現該屬性值為「true」（如圖8中底線處所示），這下子要取出Dr.Clone裡分身App的資料便猶如探囊取物了。

之所以可以如此達成取證效果的原因在於，安卓平台上的App可藉由屬性「allowBackup」的設定值，來決定是否能夠被系統備份機制將資料備出。

事不宜遲，R便以ADB指令對Dr.Clone這支App進行備份，得到如圖9所示的副檔名為.ab的備份檔，再將其進行轉換以得到如圖10所示的tar檔，解開後便可得到完整的資料夾及檔案。

皇天不負苦心人，R果然在其中找到了WhatsApp的資料庫檔案，其路徑如圖11所示，經以工具進行檢視可順利查得聊天內容，如圖12所示。

結語

數位鑑識是一門嚴謹的科學，鑑識人員須善用工具而不過份依賴工具。當鑑識工具力有未逮之時，切莫輕言放棄，鑑識人員更要冷靜沈著，愈是能夠掌握證物的特性，愈有可能突破重重取證難關，在錯綜複雜的案情中覓得破案契機。

＜本文作者：Pieces0310，本身從事IT工作多年，為找尋線索、發掘真相、解決問題，而樂此不疲～喜歡與國內外同好分享交流心得，不僅僅是個人樂趣，也希望盡一分心力，有所助益。＞