Android 智慧型行動裝置 數位鑑識 LINE

數位鑑識on LINE 萃取手機即時訊息跡證

近年通訊類軟體搭載智慧型行動裝置的列車發展快速,從初期只能用文字圖片傳遞訊息,到現行設計能夠視訊通話並且可組織聊天群組,溝通暢行無阻,這足以說明通訊的重要及被重視程度。通訊紀錄是了解使用者通訊活動的重要依據,是以本篇文章透過萃取LINE數位跡證的討論,讓大家了解目前行動裝置的鑑識工作與證據取證作業。
ADB工具的內涵

關於ADB工具的內涵,接著就由使用環境及使用指令兩方面來加以探討。

使用環境
顧名思義,ADB是常被Android程式開發者所使用,方便檢測程式有無執行錯誤並進行除錯。ADB其實是屬於Android SDK(Software Development Kit)內的一項工具。

可這樣去想像,在Windows中為探查硬體設備與系統的執行狀況,會執行「CMD(命令提示字元)」並輸入一系列的DOS指令查看詳細狀況。同樣地,程式開發者為了解Android系統與行動裝置間運行狀況,則透過了API(Application Programming Interface)介面來執行ADB指令操作或管理Android系統。

使用指令
那麼如何使用ADB指令讓鑑識人員能夠將儲存在行動裝置內的LINE通訊紀錄匯出呢?先介紹一下備份/?還原訊息的指令及其所產生的備份檔,如下所示:


備份LINE App紀錄時,可先檢測是否正確連接上裝置,請執行「adb device」指令。若成功連接,則會顯示連接裝置的名稱(圖4),若無則除了可能連接不良外,也須確認行動裝置是否有開啟「USB debug mode(USB偵錯模式)」。確認後,上述的參數意義如表3所述。


▲圖4 執行adb指令,偵測連接行動裝置的型號。

表3 ADB各參數意義說明

透過執行ADB指令,可以對Android行動裝置進行操作與管理,以本文探討的LINE為例,當鑑識人員面對所要萃取行動裝置內LINE的通訊活動紀錄時,就不需要透過Root(取得最高權限)的程序,只要執行相關ADB指令就可以獲取詳細的資料,避免了破懷數位跡證的疑慮。

實例演練

隨著犯罪走向智慧化及組織化後,調查犯罪案件已不是單打獨鬥所能夠應付的。現有,調查人員掌握一門犯罪組織販售毒品的消息,其中該組織內甲員進行毒品交易時被調查人員發現隨即逮捕。

但嫌犯甲聲稱販售毒品乃個人行為,非有其他犯罪組織支持,在未證實嫌犯甲所述事實前,調查人員遂將嫌犯甲平日所使用平板電腦進行查扣,並交於鑑識單位。調查分工中,鑑識人員負責將平板電腦內的數位跡證進行萃取備份的動作。在平板電腦中,鑑識人員發現嫌犯甲有使用LINE通訊的習慣,懷疑販毒集團是以LINE為通訊方式作為犯罪溝通,於是鑑識人員著手進行LINE數位跡證的萃取工作:

1. 確定行動裝置

嫌犯甲所使用的平板電腦屬於Android系統,在考慮數位跡證的證據力情況下,鑑識人員開啟USB Debug Mode(USB偵錯模式)並執行ADB指令,萃取LINE的通訊紀錄。

2. 執行ADB指令

不需Root情況下,執行ADB指令能將LINE通訊紀錄備份至指定儲放位置,鑑識人員執行備份指令「adb -d backup -apk jp.naver.line.android -f backup.ab」,將儲存在平板電腦中的數位跡證(LINE)備份出來,如圖5所示。


▲圖5 執行ADB指令,備份LINE通訊紀錄。

3. 還原備份檔

調查分工中,鑑識人員將儲存於嫌犯甲平板電腦內LINE紀錄備份出後,便將該平板電腦交於其他調查單位進行其他偵查活動。

針對所備份的LINE紀錄(backup.ab),鑑識人員準備一台乾淨未有其他數位紀錄的Android手機進行還原。執行「adb -d restore backup.ab」將LINE紀錄備份檔還原至另一裝置中,如圖6所示。


▲圖6 嫌犯甲LINE紀錄備份成功還原至另一手機。

還原成功後,在手機執行LINE,鑑識人員發現嫌犯甲販賣毒品的紀錄及其他疑為嫌犯甲犯罪集團內的其他成員名稱,如圖7所示。


▲圖7 嫌犯甲LINE的通訊紀錄及成員名稱。

結語

科技來自於人性,通訊軟體的發展是人們對於社交的需求。Anytime/Anywhere的通訊已然是趨勢,但在享受便利之餘,也必須考慮它帶來的負面影響——「通訊犯罪」。

如本例中所述,非法人士可以透過通訊軟體LINE進行犯罪活動,如販毒或組織犯罪團體,甚或進行更複雜及有效率的非法活動。所以,當有這類的情事發生時,鑑識人員該如何萃取通訊軟體所產生的跡證就非常重要了。另外,關於BYOD概念的推行,可預想鑑識趨勢將會在於行動裝置上的微證據萃取分析。

本文以台灣下載率很高的LINE作為探討對象,當非法人士透過Android行動裝置進行非法活動通訊時,鑑識人員可以萃取相關的數位跡證,取得關鍵訊息/對象,得以證實非法人士的活動。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!