對行動裝置做雲端鑑識　解析雲服務存取足跡

2017-11-22

中央警察大學資訊密碼暨建構實驗室（ICCL）

雲端檔案相關的數位證據除原始檔外，縮圖檔存放在快取資料夾內的非揮發性記憶體，即使無法復原原始檔案，但仍可透過縮圖檢視檔案內容，得到關鍵性證據。本文採用UFED Physical Analyzer對iOS裝置進行雲端鑑識分析，模擬使用者可能的操作行為與使用狀態，分析雲端檔案在iOS裝置上復原的可能性。

▲圖3 UFED Physical Analyzer萃取分析結果。

實驗結果出爐

本文模擬使用者在不同的操作情境和使用狀態下，探討數位鑑識所取得的證據會有所不同。在使用者操作行為上，「File viewed and saved for offline accessed」離線檔案存取操作是直接將檔案下載至裝置端，所以不受裝置狀態的影響，無庸置疑可復原最多檔案，不同的雲端儲存軟體在各種使用者操作行為下取得的數位證據數量如圖4所示。

▲圖4 使用者操作行為。

傳統的電腦鑑識強調必須避免讓犯罪現場的電腦關機，以免讓記憶體、暫存器中的快取資料消失，而遺失重要的數位證據。但從本實驗結果顯示OneDrive、Dropbox、Google Drive在開機與關機狀態下的數位證據獲取並沒有什麼差異性，主因是本實驗的三款雲端軟體是以快取資料夾的形式存放在非揮發記憶體中，因此不受關機因素所影響，反倒是清除快取記憶體，會將快取資料夾刪除，使得Dropbox與Google Drive在這部分有重要快取資料夾遭刪除，在檔案的復原上受到阻礙，證據獲取量明顯少了許多，不同的雲端儲存軟體在各種裝置狀態下取得的數位證據數量如圖5所示。

▲圖5 裝置狀態。

情境模擬

根據線報指出，巷弄民宅內藏有六合彩簽賭站，為了躲避查緝，業者在屋外架設多支監視器，過濾前來的訪客。

調查人員為了不打草驚蛇，在外監視許多天，摸清簽賭站營業模式後，調查人員持搜索票蜂擁而入，逮捕現場賭客並查扣賭資與簽賭工具，屋主A君宣稱僅提供場地供賭場使用，矢口否認是簽賭站負責人，調查人員轉往扣押A君iPad進行數位鑑識調查。

調查人員使用UFED Physical Analyzer對iPad進行「Advanced Logical extraction」進階邏輯資料萃取，UFED整理數位證據類別供調查人員對有興趣的部分快速追查。

如圖6所示，分為Phone Data與Data Files兩大類，Phone Data是歸類為關於使用者的帳戶密碼、通話紀錄、簡訊、網頁歷史瀏覽紀錄、通訊軟體聊天紀錄、安裝的應用程式、無線網路資訊等，Data Files則是多媒體資料如文件、圖片、影音、資料庫等。

▲圖6 出現UFED證據證據畫面。

調查人員查看了文件檔案，並沒有發現簽賭相關資料，調查人員猜想檔案可能被刪除了，因邏輯萃取並沒有辦法復原刪除檔案。正當調查人員陷入膠著時，另一名調查人員在圖片檔案內發現了疑似簽賭相關文件的縮圖，如圖7所示。

▲圖7 UFED圖片總覽。

圖片檔案存放路徑位於「TarArchive/File System/private/var/mobile/Containers/Data/Application/(應用程式快取編碼)/Library/Caches/PSPDFKit/Pages/」下，調查人員發現此路徑為雲端儲存服務Dropbox的應用程式資料夾，並找到A君的Dropbox帳號與使用者名稱，確認iPad為A君本人所有。

這時調查人員才了解A君將賭客名單與簽注單存放在雲端空間，且為了避免日後被發現有定期刪除檔案的習慣，但A君自以為將文件檔案永久刪除就可以高枕無憂，萬萬沒想到現今系統為了加快檔案的存取，會將使用者瀏覽過的檔案內容以快取檔案的形式存放在裝置端的快取資料夾內，只要是使用者不清除快取記憶體的情況下，即使原始檔案遭到刪除，快取檔案仍會保留在快取資料夾內，表4所示為Dropbox在路徑「TarArchive/File System/private/var/mobile/Containers/Data/Application/(應用程式快取編碼)/」所存放的重要檔案。

表4 Dropbox重要資料夾