鑑識手機筆記協同軟體　萃取Evernote跡證

行動裝置的鑑識說明

所謂行動裝置鑑識，係指針對行動裝置如手機、平板等所使用的技術、處理程序以及常見的證據之儲存位置所做的分析，種類包括多媒體影像、數位文字、通話紀錄、手機簡訊、瀏覽過的網址、電子郵件等，而這些資料可以從手機或平板的內部記憶體中萃取得出。

萃取手機、平板內部記憶體中的資料有兩種方法，分別是實體萃取和邏輯萃取，邏輯萃取為透過與作業系統的互動，將被鑑識的手機、平板內可以見到的內容擷取出來，而實體萃取則是指將手機、平板內部資訊以位元複製或製作映像檔的方式萃取出來，後者包含檔案閒置空間的資訊。邏輯萃取方式及實體萃取方式兩者之間的比較，如表2所示。

表2 邏輯與實體萃取方式的優缺點

鑑於大部分邏輯萃取相關工具可免費取得，加上邏輯萃取作業耗時較短，而邏輯萃取結果即具代表性且豐富，因此於本研究中，對於Android系統手機之記憶體內容萃取作業，係以邏輯萃取進行，亦即示範在有限時間和預算內追求最大鑑識取證效益與效率。

筆記軟體的鑑識方式

隨著智慧型行動裝置的使用日趨普及，各式相容於行動裝置的應用軟體應運而生。其中，筆記軟體主要是以行動設備作為操作平台，藉由使用筆記軟體，可隨時隨地將想法記錄下來。

因此非法者若是使用筆記軟體記錄其非法行為，便可合理認為取得行動裝置上筆記軟體所記錄、留下的數位證據，將會對偵查非法行為形成一很大的助力。

而對於筆記軟體的鑑識，在取得該帳戶或裝置持有人進行編輯資料的數位證據之外，也有其他編輯者共同參與編輯的可能性，因此亦須蒐集共同參與者所留下的數位證據。

換句話說，鑑識人員可透過萃取行動裝置內部記憶體的方式，尋找儲存於內部記憶體中Evernote使用活動的紀錄，包含筆記內容編輯或是筆記的協作等，藉此確認、比對非法者違法行為與相關具體事證的關聯，以作為協助偵察非法行為的一大助力。

鑑識與分析前準備

針對智慧行動裝置內存的數位證據的採集、鑑識與分析，可以操作商業軟體來進行，商業軟體如XRY Forensics’ Examination Kit（XRY）、Cellebrite’s Universal Forensic Extraction（Cellebrite）、Oxygen Forensics等往往具備較完善、全面性的功能，並可將萃取跡證過程予以自動化處理，並自動形成鑑識分析報告。

然而，商業鑑識軟體價格都相當昂貴，且常常需要搭配特定硬體才能使用。而在所支援的型號上，其多為僅能針對特定型號手機，若所需鑑識的證物為新推出手機，鑑識軟體平均約需3至6個月方能更新相關型號。以現行智慧型手機平均兩、三個月即有新機問世，鑑識軟體通常改版的速度一直跟不上手機推出的速度，且未來鑑識軟體若停止更新，就無法繼續進行手機鑑識。

相對而言，使用免費工具進行鑑識雖然操作手續較為繁複，可能需要操作多個工具才能達到如商業軟體的產出效果，或是必須手動設定環境變數以營造良好的鑑識環境。但是，免費工具具有彈性發展及應用的優勢，選擇合適的免費工具組合亦可達成鑑識效果，對行動裝置鑑識也有相當的幫助。

使用工具介紹

本文中，將以搭載Android版本4.1.2、型號為Galaxy Win i8552的三星（Samsung）智慧型手機為鑑識標的，並使用ADB、Cygwin進行手機內部記憶體的萃取及解壓縮，再以EmEditor、Chrome及Sqlite Expert Personal檢視檔案內容。

ADB

ADB全名為Android Debug Bridge，是開發或使用Android時經常使用到的工具。使用ADB指令與Android進行互動，可以直接對Android做存取的動作，例如刪除Android內部的檔案，將某個檔案放到Android之下，也可以得到一些目前系統的資訊，或者將Android內部的檔案抓出來等等。而若使用ADB進行裝置備份，則無須於備份裝置前先行將裝置root以取得最高權限。

Cygwin

Cygwin是許多自由軟體的集合，可以在Microsoft Windows底下建立起一個模仿Linux的環境，亦即Cygwin可以在Windows下執行Linux的文字介面指令。Cygwin包含一套動態連結庫，主要由其提供POSIX API功能。可自Cygwin官方網站下載Cygwin，並根據作業系統版本的不同選擇32位元或64位元版本。

EmEditor

EmEditor是快速、輕巧、可擴展且使用方便的Windows文字編輯器，以運作輕巧、敏捷而又功能強大、豐富著稱，同時支援32位元和64位元建置。EmEditor文字編輯器支援功能強大的巨集、萬國碼和超大檔案，包括在編碼方面具有亮顯語法、組態、多選區編輯、比較檔案、使用規則運算式等功能及選項。在支援超大檔案方面，則具有輕鬆處理248GB檔案的能力，並具備大型檔案控制器、分割及合併檔案功能、使排序大檔案最佳化以及具備多執行緒效能等。使用者經驗方面，可自訂介面、設計索引標籤及標記等，並支援外掛程式擴充、巨集的編輯及外部工具的整合等，以及支援萬國碼，並具有可攜性選項。

Sqlite Expert Personal

Sqlite Expert Personal為一款圖形化的輕型資料庫管理軟體，現今採用Android、iOS等作業系統的裝置皆支援SQLite，因此若欲對裝置內SQLite所儲存的資料進行操作時，包括瀏覽、新增、修改、刪除等動作，即可透過Sqlite Expert Personal來完成。其中於「Data」頁面中，可瀏覽目前資料表裡所包含的資料，例如通訊軟體的聯絡人清單及對話訊息等。

鑑識方法及步驟說明

本文是以Samsumg Galaxy Win i8552（Android版本為4.1.2）作為鑑識標的裝置，而鑑識步驟及方法如下說明：

1. 啟動飛航模式及開啟USB偵錯

首先開啟手機的飛航模式，以關閉手機對外連線，並於電腦端安裝手機驅動程式，而Samsung系列手機的原廠手機驅動程式Kies可自Samsung官方網站下載。下載及安裝好Kies之後，於手機端開啟「USB偵錯」選項，讓手機進入「除錯模式」，再以USB傳輸線連結手機及電腦。

2. 以ADB進行備份

在電腦端上，自Android Studio網站下載適用於Windows作業系統環境執行的SDK工具包。開啟命令提示字元，下達cd指令轉換路徑進入放有ADB.exe的資料夾，以啟動ADB程式，如圖8所示。然後，鍵入「ADB devices」指令，若裝置已成功連結於電腦，則會顯示裝置序號，如圖9所示。 確認手機連結上電腦後，下達backup指令，將手機記憶體內容以邏輯萃取的方式備份至電腦，如圖10所示。此時萃取出的記憶體內容為一壓縮的ab檔形式，檔名為ff.ab，如圖11所示。

▲圖8 命令提示字元介面。

▲圖9 裝置連結成功，顯示裝置序號。