數位鑑識on LINE 萃取手機即時訊息跡證

從前述中了解到，當使用LINE的某一項功能時，都會產生一筆紀錄。從這些紀錄檔中可以知道使用者曾經於LINE進行的通訊活動。探究鑑識的重要性，無非是鑑識人員可以從萃取出來的數位跡證內還原事件。但數位跡證的萃取方式如何才是有效的，或者能保有證據力，皆是鑑識的竅門所在，以下列出五項鑑識原則來檢視鑑識過程是否合乎合理的程序：

1. 數位跡證的儲存位置
鑑識人員在知道調查內容下，如通訊紀錄、媒體檔案，要確切知道這些數位跡證的儲存路徑，以便萃取出數位跡證。一般情形下，App軟體會依檔案性質分類儲存，而這些儲存路徑也是初步簡單判斷紀錄檔內容的依據，如「/data/data/jp.naver.line.android/databases/」路徑下的檔案則可初步判斷為LINE所產生的檔案。但可惜的是，這些路徑常會因Android系統開發廠商的不同而有變動。

2. 蒐集方法
鑑識人員得視現場狀況來決定蒐集方法，如行動裝置有無開機的情況。在無開機的情形，通常會透過鑑識工具直接做Bit-by-Bit的複製工作，隨後再行分析。而若是在開機的情況下，為避免存取紀錄影響證據力，鑑識人員會選擇凍結存取後再行萃取複製資料。至此，蒐集工作還尚未完成，萃取出的紀錄檔還得傳輸至實驗室，實體傳輸（如USB）或網路傳輸（TCP、無線）可就與實驗室的長短距離或事件的急迫性來做選擇。

3. 正確性
鑑識人員萃取的檔案與原始的檔案必須相同，因此在完成前兩項的鑑識作業後，必須再確認數位跡證的完整性。

4. 一致性
為了確保萃取出的數位跡證的可信度，在同樣的鑑識過程／方法下，鑑識的結果要求一樣，都要屏除人為因素，萃取結果不會因人而異。

5. 實用性
隨著科技的快速發展，各類型的行動裝置也如雨後春筍般被推展出來。在這波趨勢中，希望鑑識流程／?方法能套用各種裝置，否則假如每個裝置就有一種鑑識方法實為複雜，相對地鑑識人員也會消化不了。

LINE鑑識介紹

關於LINE的鑑識方式，以下從獲取LINE的備份、ADB工具的內涵兩個面向來加以探討。

獲取LINE的備份

一連貫介紹下來，對於行動裝置的鑑識萃取應該已經有了基本上的認識。但面對LINE通訊紀錄的萃取，可以選擇哪些方法呢？底下先介紹在基於Root與否的狀況下如何進行鑑識。

需ROOT，非LINE自建備份的機制
不像iOS系統，當連接電腦時，部分Android系統會自動備份的資料多屬於通訊錄、影音照片、行事曆等，無法針對特定App中的資料進行自動備份。為此，App軟體市集中出現了能夠備份Android系統行動裝置的程式，如Titanium Backup、Root Explorer。但這些App必須經過Root程序取得最高權限後，才能運行。而更換手機時，就能藉由這些備份軟體將LINE的紀錄檔備份出來，並轉移到新手機。

以RootExplorer為例，如圖1所示，使用者在選擇所要備份的目標後即可將紀錄匯出。以LINE為例，在開啟RootExplorer時，會要求欲備份App的路徑，而路徑「/data/data/jp.naver.line.android/databases/」下便是為LINE的紀錄檔儲存位置，找到該位置後就能將LINE對話紀錄進行備份。

▲圖1 RootExplorer的備份功能。

無需ROOT，LINE的備份機制
除了利用上述兩種App軟體進行備份外，其實LINE本身也有針對聊天訊息設計了備份的功能。使用者可對單一聊天視窗進行訊息備份，並且能夠選擇以電子郵件方式傳送備份檔。LINE的備份機制共分為「文字檔.txt」、「LINE的檔案格式」兩類：

·文字檔.txt：選擇此方法儲存訊息者，無法將聊天訊息中的貼圖進行備份，只能就文字部分儲存。

·LINE的檔案格式：此方式下的備份，將前述文字檔無法備份貼圖的部分給補足了起來。但因檔案格式屬於LINE自家所設計，使用者唯有再透過LINE軟體才有辦法解讀訊息內容，若透過其他軟體（如WinHex）開啟，則為亂碼是無法查看LINE的通訊紀錄。如圖2所示，備份出來的資料名稱帶有唯一的序號名稱，當使用者開啟LINE時再選擇匯入即可還原。

▲圖2 LINE的訊息備份。

若使用者選擇以手機為儲存位置，如圖3所示，LINE會將備份訊息儲存至LINE_Backup的資料夾中。

▲圖3 以本機裝置儲存LINE的對話紀錄。

如表2所示，以上這兩種備份方式各有所長，但能不能結合所長取得更好的鑑識結果，亦即免Root也可取得完整的備份資料。答案是肯定的，可透過ADB（Android Debug Bridge）來進行LINE訊息的萃取備份。

表2 LINE有無Root所獲取備份訊息的優缺點