手機取證與電腦取證的特性不同,而且存在著一些瓶頸有待突破,尤其是當商業版的手機鑑識工具力有未逮之時,便需要鑑識人員發揮經驗及技術,在確保手機內資料無破壞之虞的情況下擷取出重要跡證。
撥雲見日
開啟結果如圖28所示,瀏覽名為「message」的Table即可看到犯嫌的聊天訊息紀錄,例如是與哪些帳號在聊天、時間點是何時、聊天內容為何等等全部一覽無遺。
 |
| ▲圖28 瀏覽名為message的Table即可看到犯嫌的聊天訊息紀錄。 |
再仔細看一下「createTime」欄位的時間值,以圖29中框線標示的那一筆聊天紀錄為例,時間值為「1429687447000」,這是代表何意呢?此為Unix Time的表示法,經過換算可得知當時時間以UTC+8表示法為「2015/04/22 15:24」,有興趣的話可自行換算驗證一下。
 |
| ▲圖29 時間值為「1429687447000」,是Unix Time表示法。 |
結語
鑑識人員使出渾身解數成功擷取出加密資料庫檔案並加以破解,最後順利還原犯嫌Android手機中的聊天內容。也許有人會問道:「那WeChat在iOS上的版本也是加密的資料庫嗎?」答案是「並非如此」,WeChat在iOS上的資料庫就是一個可以直接用SQLite Database Browser開啟的資料庫檔案,並未加密保護,其資料庫檔案名稱為MM.sqlite。
至於為何是如此情況,大概是認為iOS安全性非常高,因此無須為其多費心考量加密保護。隨著手機作業系統的安全性與及App的保護機制愈加強固,未來在手機取證中所面臨的挑戰將更形艱鉅。
<本文作者:Pieces0310,本身從事IT工作多年,為找尋線索、發掘真相、解決問題,而樂此不疲~喜歡與國內外同好分享交流心得,不僅僅是個人樂趣,也希望盡一分心力,有所助益。>