社交App(Social Networking App)是在App商店中被大家搜尋下載的熱門軟體。隨著行動網路的發展,已越來越多人選擇使用社交App來進行通訊,然而在資訊分享變得方便之餘,但卻有非法人士利用通訊軟體來進行非法活動,將通訊軟體作為犯罪訊息的傳遞工具,因此當有通訊犯罪的情事發生時,其通訊紀錄就會成為重要的數位跡證。
實例演練
使用iPhone通訊的A君,利用WeChat通訊功能來散播暗示性的販毒消息。如圖13所示,A君透過WeChat的交友功能「附近的人」,將販毒暗語寫入個性簽名中,吸引同樣使用WeChat通訊B君的注意。見此「販毒暗語」的B君即進一步使用WeChat傳遞訊息給A君,表達購買的意願。
而更早之前,執法人員已獲得A君進行多宗毒品交易的消息,遂前往A君住處進行搜索。在A君的住處,當執法人員要進行搜尋時,卻遭A君強烈的阻撓,並將一台iPhone、iPad 2摔壞。執法人員見A君破壞東西的行為,便懷疑A君有銷毀犯罪跡證的用心,避免被掌握到犯罪跡證。在執法人員質詢A君時,A君卻聲稱,自己並無販賣毒品的意圖,摔東西只是因為心情不好。
 |
| ▲圖13 A君利用WeChat散播販毒的訊息。 |
在無直接證據下,相關人員即扣押現場被摔壞的iPhone、iPad 2及一台關機的電腦,並交給鑑識人員做進一步的分析。在iPhone與iPad 2被損毀的情況下,鑑識人員即從電腦著手。面對電腦關機狀態,鑑識人員為保全數位證據的證據力,得需要按部就班去分析,謹慎地完成鑑識工作。這裡以三個部分內容說明鑑識的過程:
證據保存,確認電腦狀態
A君的電腦處於關機狀態,所以鑑識人員可直接對硬碟進行位元流製作映像檔備份。這樣的備份工作能將電腦的狀態完整複製,包含刪除的檔案。備份結束後的鑑識工作,亦即使用硬碟映像檔進行資料分析而不更改原本的資料。
數位證據的調查
從A君毀損iPhone、iPad 2的動作觀察,鑑識人員初步判斷A君應該是在iPhone、iPad 2中從事犯罪行為。從此點著手,鑑識人員就以iTunes備份檔進行鑑識,而A君所使用的電腦作業系統為32位元的Windows 7家用版。在確認iTunes備份檔路徑後,鑑識人員以iTools開啟iTunes備份檔。
從iTools中,鑑識人員發現A君有使用社交App的習慣,在iPhone及iPad 2上,A君皆安裝WeChat、LINE,於是鑑識人員便著手搜尋iTunes備份檔內WeChat及LINE的對話紀錄。
發現犯罪訊息,還原事件
iTunes備份檔存有A君在iPhone、iPad 2上所進行活動的紀錄,因此鑑識人員分為兩部分來鑑識:
WeChat在iPhone上的紀錄
經由iTunes產生的備份檔是沒有檔案格式的顯示,所以為確定檔案格式,鑑識人員即透過WinHex打開iTunes備份檔,其中檔名為72d86cadc845426a1ea134c793bcb400772a56fb的備份檔,其標頭字串為SQLite format 3,是資料庫檔。
因此,鑑識人員透過SQLite Browser打開此備份檔,發現這個sqlite資料檔儲存了A君與人毒品交易的對話紀錄。與「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」下的MM.sqlite內容,是屬於同一個資料庫。
如圖14所示,MM.sqlite記錄A君與B君交易毒品的訊息。在訊息中,欄位CreateTime是屬於10位的UNIX時間格式,於是鑑識人員確定時間格式後,便透過Excel進行時間的解譯,如圖15所示。而欄位Meesage中A君也向B君傳送交貨地點的GPS,因此從解譯的時間及訊息欄中,鑑識人員就能夠清楚地掌握A君與B君交易時間及地點。
 |
| ▲圖14 WeChat的表格MM.sqlite,記錄A君與B君的對話紀錄。 |
 |
| ▲圖15 A君與B君的通訊時間。 |
LINE在iPad 2上的紀錄
在iTunes備份檔中,有一檔名為534a7099b474f4fb3f2cd006f8e59578d58fb44a,與WeChat相同,以WinHex打開後,在標頭字串中發現有SQLite format 3的字串,鑑識人員以SQLite Browser開啟檔案,發現這是A君的對話紀錄檔。
表格ZUSER記錄了A君在LINE的交友狀態,其中暱稱為「豪雨快報」的C君引起鑑識人員的注意,認為這是販毒集團所使用暗語。
如圖16所示,表格ZMESSAGE記錄A君與C君在進行製毒和販毒的對話內容。而這一份對話紀錄檔,與iTools路徑「/var/mobile/Applications/jp.naver.line/Documents/」下的talk.sqlite所記錄的內容,是屬於同一樣的紀錄。
 |
| ▲圖16 LINE表格ZMESSGAE,記錄A君與C君的對話紀錄。 |
而欄位ZTIMESTAMP是A君與C君對話時間的紀錄,是13位的UNIX時間格式。經Excel轉換後,A君與C君的對話時間即被鑑識人員清楚地知悉了。
在社交App的販毒案例中,A君雖然破壞了iPhone與iPad 2,使鑑識人員無法直接從iDevice上萃取資料。但因iTunes的自動備份設定,讓iDevice內的社交App通訊訊息經由iTunes備份作業儲存至電腦中。
鑑識人員從iTunes備份檔中萃取出A君與B君在進行毒品交易的對話紀錄,也從對話紀錄中意外發現另一名提供A君毒品的犯罪者C君。雖然A君宣稱自己無販毒的意圖,但從社交App的數位跡證中,鑑識人員證明了A君的確利用社交App進行毒品交易的可能性,並企圖獲取不法利益。
結語
智慧型行動裝置的普及化及行動網路逐漸的發展,讓使用者擺脫了地點及時間限制,可以隨性地透過智慧型行動裝置來上網,並且取得相關的資訊服務。其中智慧型行動裝置上社交App的設計,更是受到大家的喜愛。
LINE、WeChat及KakaoTalk在推出不久後,其註冊人數就已經上億。它們優秀的通訊功能讓通訊活動變得便利,但水可載舟亦可覆舟,在使用iDevice習慣下的非法人士,也透過社交App來散布犯罪訊息,如詐騙訊息、販毒暗語、色情圖片。
面對這樣的通訊犯罪,萃取出iDevice上的社交App紀錄就變得重要,因為通訊紀錄是證明非法人士有罪或無罪的依據,透過iTunes的鑑識方法,鑑識人員可以成功萃取出iDevice內的社交App紀錄,經解讀社交App各項紀錄表格後,即能還原非法者的活動過程。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>