本文將針對智慧型手機通訊軟體「U通訊」,運用ADB工具來備份手機App資料,萃取其相片聊天紀錄,並利用Cygwin模擬器和SQLite Database Browser來完整地分析所儲存的資訊,存留在手機的日誌檔也因為未加密容易被萃取出,藉此分析非法者遺留的數位證據,以找出有助於鑑識人員的資訊,避免不慎破壞原證據。
2. 執行ADB指令
開啟USB偵錯模式後,便可執行ADB指令,將原來小晉手機的U通訊對話紀錄由手機完整備份成Ubackup.ab檔至電腦,如圖22所示。
 |
| ▲圖22 手機端確認。 |
3. 解壓備份檔
針對所備份的U通訊紀錄檔(Ubackup.ab),如圖23所示利用Cygwin進行解壓縮。
 |
| ▲圖23 利用Cygwin將備份檔解壓縮。 |
4. 分析數位證據
打開com.cyberlink.U資料夾,以sqlitebrowser程式開啟pht.sqlite資料庫,選擇瀏覽資料,並且打開「Message」資料表,發現小雅和小哲的對話紀錄,如圖24所示,其中包括非法的援交及詐騙訊息。
 |
| ▲圖24 找出Message資料表中的對話紀錄。 |
而打開「PhotoComment」資料表,便可發現小雅與小哲使用相片聊天功能而產生的對話紀錄,如圖25所示。
 |
| ▲圖25 核對PhotoComment資料表中的相片聊天對話紀錄。 |
如此一來,不論是U通訊的對話紀錄,抑或是相片聊天中的內容,皆可從犯罪者的手機中完整地備份並分析,讓犯罪者無所遁逃。
結語
科技日益進步,通訊軟體的發展是人們對於社交的需求。通訊已然成為趨勢,但是在享受便利之餘,也必須考慮它所帶來的負面影響,這就是所謂的「通訊犯罪」。目前市面上通訊軟體的使用選擇很多,其中「U通訊」的功能非常強大,非法人士可以透過「U通訊」進行犯罪活動,如詐騙或組織犯罪團體,甚或進行更複雜及有效率的非法活動。
本文的實驗結果並不以刷機(Root)等破壞手機方式取得最高權限萃取證據,而是正確地使用ADB工具將「U通訊」中的犯罪跡證萃取出來,使得通訊內容得以進行解讀、保存以及分析。即便犯罪者利用相片聊天功能,還是可以將其訊息萃取出來再進行鑑識。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>