Android iPhone 數位鑑識 iOS 行動 資安

復原iPhone備份記錄檔 鑑識Facebook跡證

本文以iPhone探討使用者對社群網站應用程式的操作,及萃取出可能的存留數位證據,並透過案例說明在iPhone上Facebook的可能非法活動,這些活動的存留證據可利用手機鑑識技術進行資料回復,以協助釐清真相,還原現場。
近幾年,社群網站迅速崛起,它們提供使用者一個可以進行溝通、建立社團、分享各種資訊和想法、對其他訊息進行評論、上傳檔案和相片、參加活動及進行即時訊息溝通和網路通話的平台。研究顯示,在2012年底世界上網路使用人數大約已有2.4億人,而每個月在Facebook上活動的人數就超過1億人,Twitter也有200萬人。

社群網站原始目的主要用於溝通及與朋友交往,但各式各樣的社群網站和網路匿名性使得它們成為非法者進行不法行為的溫床。非法行為者如詐騙、戀童等,都可能以假造身分進行社群網路使用註冊。

社群網站也讓人們習慣將個人資料如年齡、性別、興趣和行程安排等公開,使得網路非法者得以利用他們的專長取得這些資訊,並用這些非法取得的資訊進行非法行為。

透過社群網站,大量的非法行為也隨之出現,數位鑑識的重要性也跟著提高。因此,取得非法者電腦中的社群網站活動數位證據,對於調查非法行為有很大的幫助。

除了透過電腦登入社群網站外,使用者也可以利用智慧型手機進行登入、張貼新文章、更新訊息、打卡等等服務。透過智慧型手機或其他可攜式裝置,使用者可在任何時間、地點更新個人資料,但這些方便的功能可能也隱藏了風險,像是打卡的功能會暴露個人目前的所在位置以及旁邊有誰,有心人士就可藉機進行闖空門或是擄人勒贖等違法情事。

根據Facebook官方調查,使用智慧型手機的使用者的活躍程度是那些不透過智慧型手機登入Facebook使用者的兩倍。因此,當在非法者的智慧型手機上進行鑑識調查時,對於尋找數位證據十分有幫助。

相關背景

智慧型手機的使用率越來越高,相對地帶動整個社群網站的使用程度,使用者對智慧型手機及社群軟體的依賴日漸加深,因此獲取手機裡的數位證據將會是數位鑑識的一個新方向。智慧型手機等可攜式裝置內的資料,可以拿來證明非法者的行為、犯罪動機以及其與共犯的相關性,讓相關案件得有跡證可抽絲剝繭。

可攜式裝置之鑑識

所謂的可攜置裝置,指的是包含手機、平板等攜帶方便的裝置,裡面可能儲存了多媒體、私人活動、社交關係等資訊。以往相關的研究一直專注於智慧型手機的採證技術與一般的鑑識分析。而近幾年來的研究,則概述了手機所使用的技術、處理程序和常見的證據儲存位置。

一般來說,這些資料都可以從手機的內部記憶體中進行萃取,例如通話紀錄、簡訊、電子郵件、照片等,希望能從中得知提取每個手機的內部記憶體資料的方法。

iPhone內的資料可以透過物理或邏輯的方法進行萃取,不過物理萃取通常需要將系統進行越獄,使得系統的資料經過輕微的修改。Android智慧型手機也可透過物理或邏輯的方法進行萃取,但通常必須經過root程序才能獲得完整的資料。

社群網站鑑識

社群網站提供了使用者一個可以進行溝通、建立社團、分享各種資訊和想法、對其他訊息進行評論、上傳檔案和相片、參加活動及進行即時訊息溝通和網路通話的平台。以往的使用都是透過電腦,但由於現今許多社群網站應用程式都已經整合進智慧型手機等可攜式裝置,對於智慧型手機和可攜式裝置的鑑識重要性便與日俱增。

一般而言,鑑證人員可能在非法者的智慧型手機找到相關證據。智慧型手機儲存的資料往往可以協助確認該設備如何被使用者使用。因此,透過社群網站的應用程式所進行的活動可能儲存在智慧型手機內。

不過,之前的研究都一直侷限在社群網站應用程式的基本資訊復原。在本文則將側重於有關社群網站應用程式的資訊復原,透過活動的執行來確定這些應用程式的資料是儲存在智慧型手機中,並且可以加以萃取成為證據。

智慧型手機系統

目前最常見的智慧型手機系統非Android、iOS莫屬,另外還有曾經紅極一時的BlackBerry,以下分別加以介紹。

Android
Android OS是以Linux為底層基礎開發的作業系統,後來被Google所併購,目前可說是iOS最強勁的競爭對手之一,也是目前世界上市占率最高的智慧型手機作業系統。

Android在早期時是由Google所獨立開發,後來則由開放手機聯盟(Open Handset Alliance)進行聯合開發,它採用軟體堆層的架構。Android最大的特色便是開放原始碼,也就是說它的SDK是開放給任何的開發人員,因此所有開發人員都可以按照其想法自行開發介面,著名的大陸小米機就是其中的代表。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!