手機內可能包含使用者與他人的相關聯絡紀錄,而這些紀錄將成為佐證犯罪的強力證據,所以必須針對手機進行更深入的討論,同時因應各種不同的通訊應用程式,本文即探討對於藉由QQ作為犯罪媒介的各種犯罪手法,萃取手機內部證據,並分析出能佐證非法企圖的數位證據。
由於QQ已經上鎖,但調查人員仍使用XRY手機鑑識軟體對T君手機直接進行鑑識,希望透過XRY手機鑑識軟體繞過QQ上鎖機制,直接將手機內QQ通訊軟體的對話資料庫取出,並從中找到關鍵的犯罪證據,如圖14所示。
 |
| ▲圖14 萃取出QQ資料庫。 |
調查人員在萃取資料庫檔案後,以「DB Browser for SQLite」開啟該資料庫檔案,但是當調查人員開啟所萃取出的資料庫後,卻發現資料庫中的內容為亂碼,使得調查進度出現瓶頸,如圖15所示。
 |
| ▲圖15 聊天紀錄已加密。 |
接著,調查人員再進行更深入的討論與分析後,終於找到QQ加密的手法,並針對此加密手法做分析,再撰寫對應解密方式,將對話記錄匯出至Word文件中來還原真實訊息,並以得到的犯罪對話紀錄來做為犯罪的證據,如圖16所示。
 |
| ▲圖16 還原聊天紀錄。 |
結語
隨著科技的進步,越來越多人開始使用通訊軟體進行社交活動,而非法人士也不例外,從利用通訊軟體詐騙到傳送各式病毒,或是進行社交工程攻擊等,這些都是因為通訊軟體的興起才有的產物,同時非法人士也利用通訊軟體進行犯意的聯絡,如果能夠取得通訊軟體內有關犯罪的資料,對於打擊犯罪將會是一大助力,其中QQ通訊軟體為中國大陸最多人使用的通訊軟體之一,也造就了許多非法人士利用QQ通訊軟體進行犯罪。本文主要是利用XRY來取得手機內部資料,但是因為QQ通訊軟體將聊天紀錄加密,所以利用XRY取得的資料是沒有辦法得到內容,於是針對QQ的加密方法分析可能的原文內容,將QQ的聊天紀錄還原成明文,使得聊天紀錄可以被解讀、分析並保存,能夠輕易地將資料萃取出並進行鑑識。
雖然目前有許多功能強大且操作直觀的手機鑑識軟體可以協助鑑識調查,但是碰到類似QQ通訊軟體這種情形時,手機鑑識軟體是有可能沒有辦法進行鑑識,所以如果清楚地了解通訊軟體的通訊機制及架構,就能在手機鑑識軟體無法支援操作時,發揮額外的功效,使調查人員不必依賴鑑識軟體,也能夠順利完成鑑識作業。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>