數位鑑識 個人隱私 社群 加密 安全

還原社群通訊鑑識跡證 追查營業秘密資料外洩案

2016-07-20
保障個人隱私的意識逐漸抬頭,新式的行動裝置和軟體逐步強化自身的安全防護,因此想要從中鑑識分析來獲得犯罪跡證也越來越困難,但若改從目標對象的社群網絡關係來尋求突破點,則可能會有意想不到的收穫。
聊天App呈現社群網絡關係

R雖在Pagefile等位置找到相關的聊天內容,但由於從LINE僅能得知好友的LINE ID,並未能對應出該LINE ID的電話號碼,但R想出了一個法子。由於透過對阿威手機的分析,已從Facebook和WeChat等跡證中取得了一些暱稱、大頭貼及電話號碼(圖13~14),只要能設法釐清這些線索與LINE好友的對應關係,就能進一步掌握阿威之LINE好友的真實身分了。


▲圖13 Facebook相關跡證。

▲圖14 WeChat相關跡證。

於是R利用一支測試用手機安裝LINE,並將前述找到的電話號碼逐一輸入手機聯絡人之中,而且聯絡人的姓名就是用電話號碼,如圖15所示。


▲圖15 聯絡人的名稱設為電話號碼。

這個時候手機中的LINE中便會進行同步,如此一來,手機中的聯絡人便會收到加入LINE好友的通知,而由於多數人的LINE皆是使用預設的「自動加入好友」,因此這支測試手機很快就會有LINE好友出現了,而這些新加入的好友自然與所新增的手機聯絡人有關。

由於手機聯絡人的姓名就是設為「電話號碼」之故,在聊天訊息當中便能順利使聊天對象的電話號碼現形,如圖16所示。


▲圖16 可看到聊天對象的電話號碼現形。

如此一來,R便可以順利找出阿威LINE好友的電話號碼,再綜合暱稱、大頭照等等的資訊進行整理,便能完全掌握阿威的LINE、WeChat、Facebook的社群網絡關係了。

將加密的隨身碟破密

另外一個重要的工作便是設法破解那支加密的隨身碟,以查看裡頭是否確有與公司重要機密相關的文件。R回想那天在阿威住處進行現場鑑識分析時,那支隨身碟是插在阿威筆電上的,但當警方一抵達時,阿威隨即慌張地將該隨身碟拔出放在桌上,因此可合理推論當時阿威應有掛載該隨身碟裡的加密分區以存取檔案。如果這樣,破密關鍵所在便是當時進行現場鑑識時,在阿威筆電中所擷取出的那一份記憶體傾印檔,當中可能存有破密所需的加密Key值。

R於鑑識工作站上掛載該支隨身碟的證物映像檔(sandisk.e01),執行專門用來破解加密的軟體,並選取自阿威筆電所擷取的記憶體傾印檔做為Key的來源,如圖17所示。


▲圖17 進行破密。

就緒後便可開始破密,破解過程及進度如圖18所示。


▲圖18 顯示破密進度。

在經過約4個小時之後,終於順利找出破密所需的Key,如圖19所示。


▲圖19 找到破密所需的key。

接著便可以掛載該加密磁區,如圖20所示,總算可以順利檢視隨身碟內的檔案內容,以進一步釐清與案情相關程度。


▲圖20 順利掛載加密磁區並檢視裡頭的檔案內容。

一切真相大白

警方從鑑識分析中找出的社群網絡關係立了大功,鎖定了與阿威有頻繁接觸的幾位關鍵人士,就是阿威打算投奔的某個競爭對手陣營。

儘管阿威早就將LINE和WeChat聊天訊息刪除殆盡,但從這幾位關鍵人士的手機中順利查到他們與阿威之間的聊天訊息內容,加上破解加密隨身碟中的檔案內容顯示確與公司機密有關,在在使得阿威無從抵賴,只得全盤供出。

結語

從受歡迎的社群App下手,不管是LINE、WeChat、QQ、FB或WhatsApp,往往都能夠在錯綜複雜的交友關係中找到突破點。因為即使嫌疑犯本身再如何小心,都會有不小心的「隊友」被警方循線找到,等於是適時「幫」警方一把,亦再度證明了「法網恢恢,疏而不漏」的不變真理。

<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!