本文將討論因應行動裝置而興起的無線技術,探討其對數位鑑識人員的幫助。若犯罪者使用了智慧型裝置的無線功能,數位鑑識人員可以據此找出犯罪者的活動紀錄。這裡將使用Android SDK提供的ADB工具針對智慧型手機進行萃取,並分析使用者從事之任何活動以釐清事實。
此外,曾經連結過的Wi-Fi基地台或熱點的密碼,竟然採用明碼的方式儲存。利用Wi-Fi在社群網站、雲端硬碟及無痕瀏覽器上的活動均被記錄下來,可從表2中找到相關資料。
實例演練
血氣方剛的青少年A時常在課堂上利用智慧型手機連結Wi-Fi以無痕瀏覽器搜尋色情圖片觀看,並使用藍牙裝置與同好B分享其擁有的色情圖片。
某日下午有線民報案,看到A於社群網站Instagram上張貼不雅照,並懷疑其有向他人散布色情圖片。經過調查人員的調查後終於抓到A,但A卻辯稱其從未張貼任何不雅圖片及向他人散布色情圖片,於是調查人員便扣押A的手機進行如上述實驗的鑑識分析,結果呈現如下。
鑑識分析
從A手機中萃取出的日誌檔案,可以發現有Instagram的活動紀錄,但未發現任何在無痕瀏覽器上的活動紀錄。
接著分析A手機的Userdata分割區,可得知A曾經使用過學校的Wi-Fi,以及利用無痕瀏覽器瀏覽網頁的紀錄,發現A確實有瀏覽過色情網站,如圖28所示。
 |
| ▲圖28 A使用無痕瀏覽器的瀏覽紀錄。 |
此外,亦可得知A曾使用藍牙傳輸檔案予B,如圖29所示,但從萃取出的資料中,只能發現傳輸檔案的檔名,而A早已將手機中的圖片刪除,因此無從比對出原始檔案。
 |
| ▲圖29 A曾經利用藍牙傳輸檔案的目的地裝置。 |
A辯稱並沒有在Instagram上張貼不雅照片,分析存放有Instagram相關檔案的資料夾顯示,可得到其張貼過的圖片,即使早已被A刪除,仍然保存在智慧型手機中。
結果呈現
由鑑識人員萃取出的證據顯示,A確實有瀏覽過色情網站,且曾於Instagram上張貼不雅照。經過調查人員循線找出B,發現B所使用的手機即為HCT Butterfly S,且B並未將A傳送的色情圖片刪除,因此A之辯解無效。
結語
本文實驗及案例利用ADB工具對智慧型手機進行資料萃取,找出使用藍牙及Wi-Fi的紀錄與相關資料,由案例中的萃取結果得知,嫌疑犯的無痕瀏覽紀錄均有被記錄下來,且在Instagram上已刪除的圖片亦儲存在手機內,這些都是鑑識人員在釐清犯罪事實時的有力證據,同時也能證明一些當紅的應用程式確實存有安全的疑慮。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>