行動智慧趨勢正夯 XRY手機鑑識為安全把關

而個人識別碼是用來保護SIM卡裡儲存的相關資料，此碼可由使用者自行設定，若無法輸入正確PIN碼時，將會無法存取SIM卡內的所有資料。

一般而言，PIN碼的輸入可以有三次的嘗試，超過三次錯誤後就無法再輸入，在此情況下，必須輸入個人解鎖碼（PIN Unblocking Key，PUK）將PIN碼的鎖定狀態解除，但若PUK碼輸入亦超過次數限制（一般為十次），此張SIM卡將會被永久封鎖。

至於LOCI則提供所在地資訊，記錄手機上一次連線時，是哪個基地台提供服務。

手機本體

隨著技術發展，手機上搭載的儲存體容量愈來愈多，現今容量動輒GB以上的手機也不少見，其主要儲存的資訊大約有下列幾種：國際移動設備識別碼（International Mobile Equipment Identity，IMEI）、電話簿、SMS簡訊、多媒體資訊（含照片、影像及聲音）、網頁紀錄、行事曆、便條以及應用程式。

其中，所謂的國際移動設備識別碼（IMEI），在手機上輸入＊＃06＃即可取得，共有15位數字，又被稱為手機的身分證號碼，其包含模組、原產地、製造商編碼及檢查碼，每支手機都具有獨一無二的IMEI碼。

電信業者提供服務的時候，除了根據SIM卡裡的識別碼驗證之外，也會將相對應的IMEI碼記錄以供後續稽核使用，而當使用者手機失竊時，就是利用此碼來找尋是否有人繼續利用此手機使用電信業者的服務。

可卸除式裝置

可卸除式裝置大多是指擴充手機儲存容量的記憶卡（Memory Card），各種手機的可卸除式裝置規格不一，主要由製造商決定其支援的種類，而其中儲存的資訊也會隨著手機類型而有不同的儲存規格與種類。

手機鑑識

手機鑑識是數位鑑識中的其中一環，泛指所有對於手機上數位資料進行識別、蒐集取證、檢驗、分析的一系列行為。

根據美國國家標準技術局（National Institute of Standards and Technology，NIST）提出的作業程序，可分為圖1所示四個階段：

▲圖1 手機鑑識程序。資料來源：Guidelines on Cell Phone Forensics

1. 保存（Preservation）︰如何於蒐證現場辨識正確的數位設備，並且妥善保存，使其合乎證據保存之規範。
2. 蒐集（Acquisition）︰對手機進行證據的蒐集，在有限時間內找尋有關案情需要的證據。
3. 驗證與分析（Examination and Analysis）︰依據不同案例情境，對蒐集到的數位證據進行假設的驗證或分析。
4. 報告（Reporting）︰輸出蒐集及驗證分析的結果及其鑑識報告。

XRY鑑識軟體實例操作

XRY鑑識軟體是由瑞典Micro Systemation公司所研發之手機鑑識產品，目前已可支援超過1,400種以上手機型號，而對各種不同型號手機支援程度也有所不同，如圖2所示。

▲圖2 XRY鑑識軟體支援許多手機款式。

XRY鑑識軟體可以利用傳輸線、藍牙或紅外線與手機連結，藉由其直觀、圖形化的介面，輕易地對手機製作備份映像檔，並利用它所提供的Reader介面讀取，找尋有用的資訊，包括通聯紀錄、簡訊、電話簿、電子郵件等。

接著以HTC Desire手機為例，示範XRY鑑識軟體如何針對手機製作備份的映像檔，並且從中尋找可供參考的數位證據。

第一步：蒐集

在操作介面中點選萃取資料（Extract Data），藉由XRY Wizard的引導，一步步地選擇手機型號、連結方式及萃取方式等，並將備份的資料檔輸出，而後所有鑑識過程大多來自此備份檔，以免有任何更動手機原始資料檔的可能。

第二步：驗證與分析

利用XRY備份出來的資料檔進行分析，依照選擇的萃取方式及種類不同，可分為下列三種資料：

SIM卡

來自於SIM卡的資料萃取，包括其IMSI碼、電話簿、網路連接參數等資料。

除了SIM卡的身分證字號IMSI碼外，最常見的電話簿及簡訊內容也很容易取得，而藉由少數較不為人知的資訊如Last Network和Last Area Code（圖3），可以得知此SIM卡是向哪家電信業者要求服務，以及其最後一次連結基地台的編號，由此可以概括判斷出此手機曾經在該基地台的附近出現過。

▲圖3 SIM卡儲存資料。

邏輯萃取資料

邏輯萃取（Logical Extract）方式是對檔案系統上的所有實體資料進行萃取，亦即將目前存放在手機上的全部檔案萃取出來。