Facebook Android LINE 數位鑑識 電腦犯罪 備份

保留Android手機證物 鑑識萃取LINE對話紀錄

在台灣LINE的訊息傳遞使用率高達92%,因此也成為了歹徒宵小犯罪利用的途徑。本文即探討對於藉由LINE為犯罪媒介的各種犯罪手法,應該如何去防範,或是進一步去萃取手機所遺留之相關跡證,並完整地擷取、分析出能有力佐證非法企圖的數位證據。
何謂網路詐欺

網路詐欺係指行為人利用網際網路,以欺罔的手段,傳達與事實不符的資訊,使相對人陷於錯誤進而取得不法利益之犯罪行為,並有犯罪區域廣泛(管轄權問題)、行為人身分隱匿、犯罪證據容易滅失以及高犯罪黑數、低破案率、低成本、高報酬率幾種特性。

網路詐欺的犯罪模式,大致分為以下幾種:

‧網路老鼠會:藉由分享連結會得到貼圖或是相關優惠的訊息來騙取受害者信任,然而往往這些連結都是為了騙取帳號密碼或是植入惡意病毒,且誘使受害者廣泛分享到朋友圈裡,使更多人遭到詐騙。

‧盜帳假冒身分:藉由多方管道取得帳號後,利用被害人的身分去向好友請求匯款幫助、幫忙購買遊戲點數,或是要求代收驗證碼等手法。

‧惡意連結詐騙:將附帶惡意程式網址假裝成是正常的網址,或是快遞通知單、水電費帳單等等,來騙取受害者的點擊,並使手機遭受感染或自動進行小額付款的功能。

以上幾種犯罪模式為近幾年歹徒在LINE所使用的詐騙手法,由於手法越來越精進,甚至將好幾種手法結合運用,使受害者更容易被詐騙財物或個人帳號密碼。

此外,網路詐欺會涉及以下幾個法律問題:

‧詐欺罪:刑法第339條:「意圖為自己或第三人不法之所有,以詐術使人將本人或第三人之物交付者,處五年以下有期徒刑、拘役或科或併科五十萬元以下罰金。」其詐術於網路詐欺案件中泛指歹徒所使用的各種手法,如騙取帳號密碼、借錢、免費贈送貼圖等。

‧偽造文書罪:冒用他人身分來登錄個人聊天軟體或是金融機構的帳戶,可依刑法第210條偽造準私文書罪及第216條行使偽造準私文書罪論處。

‧妨害電腦使用罪:依刑法第36章,不論是利用木馬程式干擾電腦或其相關設備罪,抑或盜用他人帳號入侵電腦或其相關設備罪等詐騙手法都涉嫌妨害電腦使用罪。

什麼是Root權限

對於Android的手機來說,Root是系統級帳號,就像Windows的Administrator系統管理員身分帳戶,它可以讓使用者取得Android作業系統的超級使用者權限。Root通常用來讓使用者得以突破手機廠商的限制,使得其可以在手機中執行一些需要超級使用者權限的應用程式,目前市面上大部分的手機都沒有開放Root權限,也就是說並無官方的Root方法,都必須透過系統的漏洞。

雖然因為手機設計不相同而會有不一樣的漏洞,但其執行皆需要將su執行檔複製到Android系統的 「/system/xbin/su」,通常需要一個App來管理Root權限,讓App向其要求Root權限,避免未經授權的程序來呼叫Root權限。

然而,Android系統的Root與Apple iOS系統的越獄相似,皆非官方支援的行為,因此手機廠商對Root過的手機就沒有保固的服務。本實驗中所使用到的備份工具及SQL資料庫的管理皆需要得到Root權限才可進行接續的動作。

使用工具與作業系統

本次鑑識分析過程,將會使用到以下兩種工具程式。

Titanium Backup

此為目前最便利的系統備份工具,需要Root權限來運行,其操作介面如圖4~5所示。其命名就是一個暗示,鈦金屬的特性為重量輕、強度高,性質穩定,被廣泛應用於飛航和航海等軍事應用中,這種金屬元素的特性也暗示了此備份App功能的強大,不僅擁有壓縮備份的功能,也使備份的檔案容量小但穩固。


▲圖4 Titanium Backup主介面。

▲圖5 Titanium Backup備份介面。

DB Browser for SQLite

一般Android系統的App都內建一個SQLite的資料庫,此SQLite為一個開放的小型資料庫,執行資料的管理和查詢的工作,而DB Browser for SQLite為透過Windows系統來管理SQLite資料庫的工具,執行打開、建立、刪除和修改的動作,如圖6所示。


▲圖6 DB Browser for SQLite。

Android作業系統手機

本實驗所操作的Android作業系統手機版本為4.1.2的SAMSUNG GALAXY S II i9100。Android作業系統的手機並無開發專門的備份軟體,所以要透過提高權限方式來備份LINE記錄檔的資料庫或是藉由LINE自身的聊天紀錄備份來取得資料。

因此本篇即為以Android作業系統手機為工具,並透過Titanium Backup和其內建的備份機制分別進行手機App的資料備份,以萃取LINE的對話紀錄。

鑑識與分析

本文的討論目標在於透過對LINE的聊天紀錄檔進行備份,以便還原到另一支完整乾淨的手機上。其中應特別注意的是不可以對原始證物做鑑識,需要製作一份Bit By Bit複製版本,讓證物保存為原來的狀態,避免去破壞數位證據的原始性以及保持其完整性。

因此,本篇的重點在於透過各種備份還原的方式,去萃取出在原始手機的聊天紀錄作為犯罪調查的關鍵線索。以下將分別針對使用Titanium Backup進行備份以及DB Browser For SQLite去查看資料庫聊天紀錄的過程進行說明。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!