本文以語音訊息的檔案擷取為目標,並以LINE、WeChat、Facebook Messenger的語音訊息檔為例,說明如何將傳送或接收的語音檔加以擷取,聽取檔案的內容,並儲存於電腦中進行保存及分析。
開啟之後會有許多關於該聊天室的資料,點選其中的voice2,就能找到存放語音訊息的資料夾,而且這些資料夾是以時間進行排列,再進入兩層資料夾後,就能找到語音訊息的檔案,並且能夠直接以播放軟體聽取內容,如圖8所示。
 |
| ▲圖8 語音訊息檔案。 |
Facebook Messenger的鑑識與分析
要取出Facebook Messenger的語音訊息需要藉由adb的協助,如先前所介紹的,使用adb時需要透過命令提示字元將其開啟,如圖9所示。利用cd指令開啟adb所在位置的資料夾,並啟動adb命令列工具,之後就依下列步驟輸入指令。
 |
| ▲圖9 啟動adb命令列工具。 |
利用shell和su指令先進入shell環境再進入最高權限,由於本次使用的行動裝置已事先root,因此能夠順利地以最高權限下達後續指令。請注意,下達「su」指令時還在shell環境,因此指令前方的符號為$,而下達「su」指令後,進入最高權限,所以指令開頭變為#,如圖10?11所示。
 |
| ▲圖10 進入shell環境。 |
 |
| ▲圖11 進入最高權限。 |
進入最高權限後,就可以找到平時直接開啟檔案資料夾時所看不到的部分,此時就要一一地開啟資料夾以尋找出語音檔案的位置。
先利用ls指令列出所在位置的所有資料夾,再用cd指令進入資料夾,以了解資料夾內的檔案為何,重複這兩個指令,直到找出語音訊息檔案為止,如圖12所示。
 |
| ▲圖12 重複cd及ls指令以找到語音訊息檔案所在位置。 |
重複從列出的資料夾選擇其中一個進入,最後就會來到位址「data/data/com.facebook.orca/cache/audio/v2.ols100.1」,並在其中找到數個以數字命名的資料夾,請注意這些資料夾由上到下是依時間先後排列,進入這些資料夾內就會發現.cnt檔案,這些.cnt檔案就是語音訊息的檔案,如圖13所示。
 |
| ▲圖13 語音訊息的.cnt檔。 |
找到檔案後,就要將該檔案複製至sdcard,以便從電腦直接存取,此時要先用pwd指令了解現在所在位置,如圖14所示。
 |
| ▲圖14 利用pwd指令了解現在位置。 |
之後再用cp指令將檔案複製至指定位置,須注意此時將使用「cp -r」指令將整個所在的資料夾進行複製。描述位址時,資料夾中間需以「/」符號相間隔,且開頭也要有「/」符號,另外目標sdcard的位址為「/mnt/sdcard」,之後再加上目標的資料夾名稱即可,如圖15所示。
 |
| ▲圖15 利用「cp -r」指令將資料夾複製至sdcard的指定位置。 |
將資料夾複製至sdcard後,即可直接從檔案總管內開啟,如圖16所示。
 |
| ▲圖16 直接從檔案總管開啟sdcard中存放語音訊息的資料夾。 |
找到複製的資料夾並以播放軟體開啟.cnt檔後,就能直接聽取內容,如圖17所示。
 |
| ▲圖17 以播放軟體開啟語音訊息聽取其內容。 |
其播放情形因為無法從資料夾或檔名得知其內容,因此必須在撥放後才能知道對話內容,但語音訊息的資料夾是以時間進行排序,所以可以利用時間的前後順序,推知是哪個聊天室的哪一段語音訊息。
實例演練
毒販「王○○」以語音訊息與「喬○」、「啦○○」、「林○○」三名毒販互相傳送訊息,並分別使用LINE、WeChat、Facebook Messenger三種不同通訊軟體,進行相關毒品交易行為之商談。
調查人員為了解其對話內容,及時遏止毒品交易的發生,並作為接下來調查的方向且將語音訊息進行相關分析與保存,所以從「王○○」的行動裝置內將相關語音訊息擷取出來,聽取其內容。「王○○」與「喬○」、「啦○○」、「林○○」之相對關係如圖18所示。
 |
| ▲圖18 「王○○」與「喬○」、「啦○○」、「林○○」之間的關係。 |
情境背景
「王○○」使用的行動裝置是Android智慧型手機,而調查人員則是將智慧型手機連接上鑑識用電腦後,利用adb命令列工具以取得語音訊息檔案。