蒐集即時訊息App跡證 FB Messenger記錄現蹤

• DEVICE：對於本次進行萃取的目標手機進行一般性介紹。
• FILES：本次範例中的實體萃取因為只支援FILES一項，所以真正包含萃取結果的就只有這一項。又再分為圖片、文件、檔案、未配置區域四個小項目，在「圖片」項目中包含網路上瀏覽過的圖片，以及Facebook Messenger App對話雙方使用的圖像。其中本次首要萃取的Facebook Messenger App對話內容即在「未配置區域」的項目中。
• XRY SYSTEM：記錄了本次進行XRY資料萃取的標的，以及對其萃取的限制與內容，還有萃取的流程紀錄。

在「messages」的子項目中可以找到對話內容、訊息來源方、傳訊類別、時間戳等，其中從對話內容和訊息來源方對照可以清楚得知交談內容，如圖11所示可以發現確實有詳細的對話內容紀錄。

▲圖11 「messages」的子項目中可以找到對話內容、訊息來源方以及時間戳。

從傳訊類別可知該訊息傳送時使用的程式，例如該欄位顯示messenger表示使用Facebook Messenger App，chat表示使用電腦版的Facebook聊天室，而mobile代表使用行動裝置上的Facebook進行對話。此外，利用時間戳的對照，即可了解對話進行的順序。

除此之外，在「thread_users」的子項目也能找到對話雙方的姓名，如圖12所示。

▲圖12 在「thread_users」的子項目能找到對話雙方的姓名。

另外，在「FILES/PICTURES」資料夾，即實體萃取的圖片項目中，可以找到對話雙方的大頭貼圖像，而每傳送訊息一次就會萃取到一次圖像內容，因此萃取出來的圖像與訊息傳送的數量相同，如圖13所示。

▲圖13 圖片萃取結果。

實例演練

在本例中，加害人Alice（A）偽裝為被害者「林OO」之好友「王OO」，要求其協助接收團購認證碼以進行詐騙，為證實加害人Alice確實利用Facebook Messenger App進行詐騙，針對加害人Alice之手機進行Facebook Messenger App對話之萃取，以獲取證據，其關係如圖14所示。

▲圖14 詐騙行為之關係。

情境背景

加害人Alice所使用的手機為Android智慧型手機，而進行鑑識所使用的工具軟體是XRY。加害人Alice使用Facebook的手機傳訊應用程式Facebook Messenger App進行犯案，先偽裝成被害人的好友，再誘使被害人提供身分證字號並配合提供認證碼，使得被害人遭到金錢詐騙，其對話內容如圖15所示。

▲圖15 加害人Alice偽裝被害人好友進行詐騙之內容。

鑑識與分析

利用XRY對Alice所使用之Android智慧型手機進行實體萃取以及邏輯萃取。在實體萃取的部分，如圖16～17所示，確實可以從threads_db2中的messages找到Alice與被害者之間的明確對話內容，而在thread_users可以找到對話時雙方使用的身分名稱。

▲圖16 實體萃取結果之明確對話內容。

▲圖17 對話時雙方使用的身分名稱。

此外，實體萃取後也可以發現雙方對話時使用的圖像，而由其中的對話內容可以得知Alice對被害人的詐騙行為，而從對話時的身分能夠確定Alice確實冒用被害人好友身分，以上皆可用於證實Alice之非法行為。

在邏輯萃取中，除了可以了解Alice的手機中使用了那些軟體外，也能夠透過曾經連上的網路掌握其蹤跡，另外還有電子郵件、位置的歷史紀錄等，都可用於進一步的調查，如圖18所示。

▲圖18 邏輯萃取的結果。

證據推論

從以上的資料分析結果推論，可以從Alice的手機中得知Alice偽裝「王OO」此一名稱，與被害者「林OO」利用Facebook Messenger App進行對談，而從對話訊息的內容之中了解到，加害者Alice確實有對被害者「林OO」進行詐騙的行為，如此一來，調查人員就可以利用這些資料作為證實犯罪者Alice犯行的其中一項證據。

結語

非法行為總是隨著最新科技發展而不斷更新，因此數位證據的取得也必須跟著日新月異。Facebook Messenger App是Facebook新開發的應用程式，而非法者已經開始將其作為非法工具進行非法行為，使得許多Facebook Messenger App的使用者一不小心就成了被害者，因此對於Facebook Messenger App的鑑識有其必要。

＜本文作者：中央警察大學資訊密碼暨建構實驗室（ICCL），民國87年12月成立，目前由王旭正教授領軍，實驗室成員共有20名，並致力於資訊安全、資料隱藏與資料快速搜尋之研究，以確保人們於網際網路世界的安全。（http://hera.im.cpu.edu.tw）＞