本文以語音訊息的檔案擷取為目標,並以LINE、WeChat、Facebook Messenger的語音訊息檔為例,說明如何將傳送或接收的語音檔加以擷取,聽取檔案的內容,並儲存於電腦中進行保存及分析。
而毒販「王○○」則分別使用LINE、WeChat、Facebook Messenger與「喬○」、「啦○○」、「林○○」進行毒品交易的商談,如圖19所示。
 |
| ▲圖19 「王○○」與其他三名毒販對話的影像。 |
小標鑑識與分析
對於LINE中的語音訊息,可以從下列位址「\Android\data\jp.naver.line.android\storage\mo\uc4c248bf708fac4ef96ff3f83830a2d7」中被找到,再開啟「mo」內的「uc4c248bf708fac4ef96ff3f83830a2d7」資料夾後,可以找到兩個類型為ADTS音訊的檔案,名稱為「voice_3」和「voice_4」,如圖20所示。
 |
| ▲圖20 「\Android\data\jp.naver.line.android\storage\mo\uc4c248bf708fac4ef96ff3f83830a2d7」內的ADTS音訊檔。 |
而且其依時間先後順序進行編號及排列,利用Windows Media Player播放軟體開啟後,就能聽取其內容,如圖21所示。
 |
| ▲圖21 以Windows Media Player播放voice_3語音訊息檔案。 |
WeChat中的語音訊息檔案,則在「\tencent\MicroMsg\950e8eb6ec3b8419edbbc850d58ce9e1\voice2」內,注意此時在「MicroMsg」資料夾中有兩個名稱是亂碼的資料夾,分別代表不同聊天室中的訊息資料,如圖22所示。
 |
| ▲圖22 「MicroMsg」資料夾中的內容。 |
在開啟「950e8eb6ec3b8419edbbc850d58ce9e1」中的資料夾「voice2」之後,將會有「29」、「42」、「80」三個依時間順序排列的資料夾,如圖23所示。
 |
| ▲圖23 voice2內數個存有語音訊息檔案的資料夾。 |
依序進入資料夾「29」、「0c」後,就能找到類型為AMR的msg_4208371003145a731b8b447102語音訊息檔案,並能直接以RealPlayer聽取內容,如圖24所示,而其他資料夾的語音訊息內容聽取方法亦同。
 |
| ▲圖24 以RealPlayer播放軟體播放語音訊息檔案。 |
為了取得Facebook Messenger的語音訊息內容,需要利用adb命令列工具,對已經root的智慧型手機以最高權限將語音訊息檔案複製至sdcard。
首先,使用「adb shell」指令進入shell環境,以便對智慧型手機下Linux指令,之後便可以用「su」指令進入最高權限。而用cd指令依序進入語音訊息檔案的位置,如圖25所示。
 |
| ▲圖25 用cd指令依序進入語音訊息檔案的位置「/data/data/com.facebook.orca/cache/audio/v2.ols100.1」,使用ls指令展開「v2.ols100.1」資料夾後,可以找到數個存有語音訊息檔案的資料夾。 |
其路徑為「/data/data/com.facebook.orca/cache/audio/v2.ols100.1」,在v2.ols100.1中可以找到「83」、「41」、「10」三個存有語音訊息檔案的資料夾,用ls指令展開資料夾「83」後,就會發現名為Zj0ylIUzlsuLmrrYiyb4jhfydHU.cnt的語音訊息檔案,此時先用「pwd」指令了解現在位置,如圖26所示。
 |
| ▲圖26 使用「pwd」指令了解現在位置。 |
再用cp指令將資料夾「83」複製至sdcard中,此時所用的cp指令為「cp -r /data/data/com.facebook.orca/cache/audio/v2.ols100.1/83 /mnt/sdcard/database」。
最後,從檔案總管開啟「\database\83」,並且如圖27所示使用RealPlayer播放軟體播放該語音訊息以了解其通話內容。另外,資料夾「41」和「10」的複製方法亦同。
 |
| ▲圖27 用RealPlayer播放軟體播放該語音訊息檔案。 |
證據推論
從LINE、WeChat、Facebook Messenger取得的語音訊息檔案,提供給調查人員,使其可聽取語言內容,以得知毒販的秘密交易地點與時間,進而在毒販「王○○」與「喬○」、「啦○○」、「林○○」進行交易前先行攔截,當場逮捕,及時避免犯罪的發生。
結語
由於語音訊息有著不用輸入文字、能重複聽取的優點,因此在方便性上優於一般的文字訊息,比起網路電話必須同時都能對談要方便許多。語音訊息傳送過去後,對方可於有空時再聽取內容並回覆,可說是兼具方便性與對話延置性。在行動裝置使用者享受此一方便性的同時,也有非法者開始將其使用在非法行為的聯絡上,因此本文的目標就在於將語音訊息從行動裝置中取出,使其能夠在電腦上進行儲存及播放。
本文的實驗的結果正確地將LINE、WeChat、Facebook Messenger的語音訊息取出,並以播放軟體播放,使得通話內容得以進行解讀、保存及分析。除了提供調查人員及時防止犯罪發生並訂定調查方向外,也可以將此語音訊息進行保存,以便後續做進一步的分析,讓調查人員了解更多資訊,達成語音訊息取出的目的。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>