隨著科技的進步,想要做筆記已不再侷限於一般的紙本記事本,現在的手機、平板以及電腦都具備相關方便易用的筆記軟體App。本文將著重於跨平台的筆記軟體Evernote的介紹和鑑識方法,說明其常用功能及可能被非法者利用的地方,並利用鑑識工具在iPhone上進行簡易的鑑識,最後以案例方式說明,當非法行為發生時,Evernote可能會留有什麼證據在手機記憶體中,而這些證據與非法者有何關連,以方便鑑識人員的調查。
記事的萃取
鑑識人員在使用Firefox瀏覽器打開與圖片檔同一資料夾的HTML檔後,發現正是非法者記錄被害者住居相關資料之純文字記事內容,如圖12所示。雖然圖片無法直接顯示,但由於該HTML檔與相對應之圖片檔儲存在同一資料夾,且時間為同一時間所建立,因此可判斷的確為相對應之證據。
 |
| ▲圖12 存有純文字記事的HTML檔。 |
從情境模擬中可以看出,整個案件的關係就如同圖13所示。
 |
| ▲圖13 非法者阿明相關資料夾與證據對照關係圖(黑底表示為非法者及其持有之器材,虛線表示人對人所做的行為,實線則是人對物所做的行為)。 |
從此關係圖中發現,一旦使用者利用其手機登入Evernote帳號,那麼包括使用者帳號、信箱、連線方式、裝置名稱、時間等資料都會被記錄下來,並且可透過專門的軟體進行萃取。
而在使用者新增資料後,無論是記事的文字內容或是圖片都會被記錄下來,由此可知,非法者阿明相關資料夾與證據對照如表1所示。若能將這些資料確實萃取出來,對於執法單位的勤務有相當大的幫助。
表1 相關資料夾與證據對照
隨著科技的日新月異,一般人的日常生活中充滿著各種電子用品,無論是手機、平板或電腦都受到大眾的喜愛。而近幾年來筆記軟體的興起,更使得人們的生活更加便利。
但輕鬆使用這些筆記軟體的同時,往往忽略了非法者也可能對這類軟體產生興趣,進而將非法手法提升並降低證據被發現而被逮捕的可能,這真的讓鑑識人員一點也放鬆不得。
結語
科技的進步讓手機可以安裝許多好用的應用程式,筆記軟體為使用者帶來新的應用方式與便利性,卻也隨之帶來了許多前所未見的非法手法。為此,本文透過案例的模擬與說明,提供非法者與數位證據存留的關聯,進而有效地協助相關鑑識單位還原事件真相。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>