新應用挑戰手機鑑識極限 蒐證LINE傳輸及無線列印

表1 備份檔可能儲存數位證據的重要檔案

e-Print無線列印

行動裝置的e-Print功能主要是透過Wi-Fi無線網路進行列印，例如iOS裝置特有的AirPrint功能或在行動裝置安裝特定印表機所提供之列印App（iOS或Android行動裝置均適用）進行無線列印，分別介紹如下：

AirPrint
iOS裝置從4.2版本開始引進AirPrint功能，是iOS設備的特有功能，它允許應用程式使用iOS設備的Wi-Fi無線網路發送內容到支援的印表機進行列印。其中較特別的是，AirPrint會自動地尋找本地網路中支援AirPrint功能的印表機，無需另外安裝驅動程式或下載軟體，透過無線Wi-Fi網路連接，即可以列印文件、照片等資料。

經由裝置的使用方式來看，要執行列印操作相當簡單，在使用端（iOS設備）只要支援AirPrint功能的應用程式，如相簿、Safari瀏覽器及相關應用程式等，皆會提供一個〔列印〕按鈕，只要點選〔列印〕按鈕，就會出現一個印表機選項，包含選取印表機、調整列印份數及執行列印鍵，操作相當簡易方便，列印流程如圖3所示。

▲圖3 AirPrint列印流程。

安裝特定印表機所提供的列印App
除了iOS設備內建特有的AirPrint功能外，各廠牌的印表機也都有提供適用於iOS及Android行動裝置進行無線列印的App。

例如所使用的印表機支援非AirPrint的無線列印功能，或非使用iOS裝置，直接在行動裝置上安裝該App，亦可進行照片及文件之無線列印功能，譬如支援Canon印表機的App有Canon PRINT、Canon Easy-PhotoPrint（EPP）等，支援HP印表機的App有HP ePrint等。

本文主要針對印表機Canon MG3570進行實驗測試，並於iPhone手機上安裝Canon PRINT Inkjet/SELPHY列印App進行無線列印，於安裝該列印App後，可以直接執行該App選擇相片和文件進行無線列印，或在開啟文件後，透過列印選項開啟該App進行列印，列印選項設定比AirPrint多一些，除了選擇印表機、調整列印份數及執行列印鍵外，尚可調整列印範圍、紙張大小及類型以及是否啟用灰階等設定，列印流程如圖4所示。

▲圖4 透過Canon PRINT App的列印流程。

即時通訊傳送檔案及無線列印之鑑識

在相關研究中，透過iTunes備份檔以手動邏輯檢驗的方法已被證明是可提供調查人員使用的一種鑑識調查，而且相較於相關商業軟體工具，即使Apple裝置的iOS版本一直不斷地更新，有更多的證據仍然可以使用手動檢查方法來萃取。

因此，這裡嘗試就iPhone 5S針對LINE即時通訊軟體所傳送的多媒體及文件檔進行相關鑑識分析，在LINE即時通訊程式中使用，除了文字訊息外，所傳送的圖片、影音檔及文件等資料的數位跡證，是否也有可能留存於手機中，另外並實驗測試使用無線列印功能時有無相關留存跡證。

此次進行的鑑識實驗，所使用的iOS版本為7.1.2、LINE版本為5.4.0、所使用的列表機是Canon MG3570。將透過iTools工具幫助查看備份檔資料，其功能可讓使用者直覺地管理iOS裝置，以模擬裝置連結的方式管理備份檔案。

檔案傳送之跡證路徑與聊天對話紀錄的關聯

在本實驗中，LINE儲存對話紀錄路徑是在「/var/mobile/Applications/jp.naver.line/Documents/」底下的talk.sqlite，然而卻發現相關傳送的圖片等多媒體檔案儲存在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments/」底下的相關資料夾內，每個資料夾名稱均以40個十?六進制位元命名。

如圖2所示，該資料夾名稱係對應於前述對話紀錄資料檔talk.sqlite內資料表ZUSER的「ZMID」欄位值，如圖5所示，顯示係與那個帳號或群組之對話所傳送的圖片等多媒體資料。

▲圖5 talk.sqlite內資料表ZUSER的「ZMID」欄位值。

以其中一個使用者之ZMID值「u37eb377a74d02f205f18004692f0defd」來說明，在「/var/mobile/Applications/jp.naver.line/Library/Application Support/Message Attachments/」路徑底下會有一個名稱為「u37eb377a74d02f205f18004692f0defd」的資料夾，資料內所儲存的圖片等多媒體檔案，即為該手機擁有者與其中一個聯絡人所傳送之圖片等多媒體資料，如圖6所示。

▲圖6 與聯絡人所傳送之圖片檔案。