本文針對智慧型手機通訊軟體FireChat萃取其聊天紀錄,然後運用Wireshark擷取封包以及使用ADB來備份手機App資料,以分析非法者遺留的數位證據,藉此找出有助於鑑識人員的資訊,避免不慎破壞原證據。
但藉由實際操作過後發現,雖然其應用程式系統有掃描到周邊其他使用者的訊號,但尋找用戶的時間過於長久,且傳遞訊息的過程中常會發生遺失的情形。另外,如果有斷線的情形,後來連回聊天室時,斷線中間的聊天紀錄也會有遺失的狀況,也有可能是每支智慧型手機或是手持裝置之發送接收訊號的強度不同而有所影響。
然而,在最近的更新版本中,雖然新增了帳號要綁定個人的功能,但終究其還是屬於公開且半匿名,畢竟其使用者名稱可以隨便填寫,無須審核,所以在個人隱私和發言尺度上要更加留意,因為只要點擊他人頭像就可以看到其過往在其他聊天室的發言有哪些,所以不要在裡面進行惡意人身攻擊的發言或者到處散播謠言。
應用網路技術介紹
以下介紹會使用到的相關網路技術,包括隨意網路以及網狀網路。
隨意網路(MANET)
隨意網路(Mobile Ad Hoc Network,MANET)是一種即使在沒有基地台的情況下,行動裝置還是能彼此做訊息交流或是間接經過其他中間行動裝置傳遞訊息的一種網路環境。
在無線網路環境中,MANET屬於無基礎建設架構(Non-Infrastructure),不受時間、地點以及環境相關因素有所影響。然而,以一個大型、非集中化、無須管理權限的網路、建立在使用者設備為基礎來說,即為本篇所討論的App所使用之技術——網狀網路(Mesh Network)
網狀網路(Mesh Network)
Mesh Network的起源是,在網狀網路拓樸中,每一個節點都可以傳送或接收封包資訊,如果多節點聚集成一塊無線網路區域時,彼此間會找出最合適的路徑傳送封包。
Mesh Network利用網路上節點互相連接的方式來達成一個網路架構,所以即使架構中有一節點毀損或無法持續運作功能時,依然可以藉由其他節點來傳輸封包,而且保有良好的工作性質,不會有通訊中斷的情形產生。
Mesh Network擁有著基礎網路架構和無線隨意網路的特性,不僅可以使用穩定固定的存取點(AP)來讓其他設備連結,也可以運用節點間點對點跳躍的方式傳送,並不需要將每一個存取點接上網路線,也會有較大的機率改變整個無線網路架構。
如圖11所示,圖中的手持設備要達到通訊目標時,可以將資料傳輸給最近的網狀網路存取點(Mesh AP),再透過Mesh AP互相傳遞將資料傳送至另一部手持設備。而電腦要存取到網際網路,也可以直接透過Mesh AP間的傳遞連到網際網路存取資料。
 |
| ▲圖11 無線網路資料傳送架構。 |
然而,網狀網路最大的改變就是去中心化,它無需基礎的網路建設,只要裝置在彼此可通訊的距離下,就可以彼此相連成為一個完整的網路系統,並且使用者用愈多,範圍就愈擴大。
無線Mesh網路特性包括以下幾項:
·自我組織:網路節點可授權其他用戶即時加入網路,擴展網路覆蓋範圍,並連接至所有其他節點。
·自我設定:如果網路中的某台設備發生故障或從其拓撲位置上消失,網路會自行尋找從發端到對端的新路徑。
·跳躍式:每個網路節點和用戶端設備均能轉發和發送至另一端的封包,可選擇並確定一個最佳路徑。
·點對點網路:組織網路由平等的單位元構成,只要發射端和接收端的距離夠近,就能直接連接發射、接收兩端,不必透過中央管理。
在實際應用方面,文中所提到的FireChat通訊軟體便是透過Mesh Network技術來運用網際網路連線,以及透過手機點對點藍牙來傳輸訊息,而實驗中使用的鄰近模式便可不必使用網路就達到通訊連線的功能,每一台手機都可當作接收端也可當作傳送端,達到點對點互傳的特性。
即使傳輸中間的節點失效,也允許使用別條路徑或者以跳躍方式傳至目的地,所以此通訊應用程式能夠減少架設網路線、基地台的成本,使用者本身的手持裝置即為基地台,當作彼此溝通的媒介和管道。
雖然在使用上便利性相當的足夠,但同樣地也有些許的缺點,例如通訊過程中訊號的問題,當傳輸途徑過長時造成延遲的問題,或是在許多節點的傳輸過程中,資料被竊取的危險性,加上其訊息的未加密性,因此訊息安全性也受到嚴峻考驗,只要擷取到封包就可知道傳遞資料內容。
使用工具說明
這裡將會使用到Wireshark、ADB等與鑑識有關的軟體,以及Android智慧型手機。
Wireshark
這是一個免費開源的網路封包分析軟體,原本名稱叫Ethereal,但在2006年,因為商標的問題,而從Ethereal更名為Wireshark。Wireshark支援目前市面上多種主流的作業系統,在Windows、UNIX、Mac OS等之下都有相對應的程式版本。此套軟體的最主要功能就是去擷取網路封包,並盡可能地分析顯示出最詳細的網路封包資料、標頭欄位等等,其用途大多在檢測網路問題、檢查網路安全、嗅探網路封包。
Wireshark支援的通訊協定(Protocol)不但很多而且完整,更因為其軟體本身架構為開放原始碼的緣故,因此若想要更新最新的通訊協定相當簡易迅速。另外,在使用頁面上,Wireshark的圖形化介面也可以讓新手輕易上手,透過篩選不同網路線段分析、不同種類封包的挑選,來找出所欲擷取的封包格式,輕鬆地了解封包的一切資訊,是一套整合性相當完整的網路封包擷取軟體,如圖12所示。
 |
| ▲圖12 Wireshark的使用介面。 |
ADB
ADB全名為Android Debug Bridge,是一種多功能用途的命令列工具,可以用來連接模擬器或Android裝置。當使用者或程式開發者在開發或使用Android時經常會用到ADB工具。使用者可以從Android官方網站下載SDK,而ADB工具也可以在其「/platform-tools/」目錄下找到。
Android智慧型手機
這裡所使用的Android智慧型手機版本為4.4.4的HTC_M8x,相較於iOS作業系統有其官方提供的軟體iTunes可以進行iPhone手機的備份,Android作業系統的手機並無開發專門的備份軟體。因此本篇就以Android智慧型手機為工具,並透過Wireshark的使用和ADB指令對手機App做資料備份,來進行FireChat的對話訊息萃取。