分析通聯紀錄與定位資訊 掌握手機持有人全部行蹤

有研究指出，在手持式行動裝置上進行數位鑑識取證，依所採集的檔案資料形式可區分為實體萃取（Physical Acquisition）和邏輯萃取（Logical Acquisition）兩種不同的資料萃取方式，詳細說明如下：

實體萃取

資料是散見於裝置上各處不同的儲存位置，包括儲存於該硬體的儲存設備、元件及各類電子媒體。而在進行實體萃取時，必須使用該媒體或該硬體儲存資料的存取方法，反向將資料萃取出來，亦即不能使用智慧型手機作業系統的命令提示字元來溝通或交換資料。

在進行實體萃取時，通常會寫入一個特殊的程式到手機的記憶體中，藉此取得記憶體的完整映射（Full Dump）。一般來說，若是在鑑識的過程當中發現資料刻意遭抹除，則可以嘗試利用實體萃取的方式還原資料。

邏輯萃取

邏輯萃取的資料，是從某些原始資訊來源中萃取出來（包含日誌檔Log File及資料庫Database等），這些資料的內容較為完整有邏輯，可經由鑑識軟體與作業系統通訊協定交換之後取得，其大部分的資料都能夠完整地被分段（parsed），並且以可閱讀的方式來表示。

儘管實體萃取較能夠有效地還原大部分資料，但是利用實體萃取工具（如EnCase）還原的資料，有些只是破碎的片段，並沒有辦法解讀，這時若能使用邏輯萃取解讀有規律的資料庫資料，對於協助犯罪偵查則較有效用。關於實體萃取和邏輯萃取的優缺點分析整理，如表1所示。

表1 實體萃取與邏輯萃取的優缺點分析

在本文的案例中，因著重於數位證據的分析，所以採用邏輯萃取方式對行動裝置進行鑑識。從鑑識的資料中，經由重整、對照及視覺化，呈現出方便鑑識人員判讀有用資訊的結果。

案例情境分析

手機鑑識程序中所萃取出的證據，可能面臨證據不完整的問題，例如已遭刪除的簡訊、電子郵件等片斷不全的通訊內容，造成鑑識人員無法有效地進行鑑識，而影響資料的完整性。

所以，若要為有效且完備的鑑識方式，應是將手機鑑識所萃取出的使用記錄、移動區域等數位資料，搭配交叉驗證和關聯分析的方式，讓手機鑑識能夠更完整地整合於違法事件調查的應用中，方能改善數位證據完整性的問題，達到有效鑑識及獲取完整資料作用的目的。

在本情境之中，楊姓線民擔任非法集團車手以進行證據和集團組織、背景的資料蒐集。為了避免洩漏其線民的身分，楊姓線民並未抄寫任何的相關資料和文件於紙本上，在集團內擔任車手的期間，也沒有和相關執法單位進行書信上的往來，鑑識人員僅對其持有的智慧型手機進行鑑識，即可讓證據說話。

鑑識環境說明

本案例進行手機鑑識的標的，為楊姓線民持有的智慧型手機HTC Desire。透過手機鑑識操作過程，說明如何整合數位證據，並且利用關聯分析和交叉驗證，建構出鑑識工作的全貌。

在操作的建構上，該支手機只搭配一個使用中華電信的門號收發話以及接收簡訊，除此之外，曾以3G和Wi-Fi無線網路連接收取電子郵件及上網瀏覽過，如表2所示。

表2 案例環境與使用工具

鑑識工具說明

在本案例中將採用Micro Systemation XRY和i2 Analyst’s Notebook兩種鑑識工具，分別說明如下：

Micro Systemation XRY

XRY是Micro Systemation（http://www.msab.com/）研發的數位鑑識工具軟體，主要用途為從手機（智慧型手機）、導航裝置、平板電腦等手持式裝置中還原資料並且進行分析。

XRY提供各種硬體連接裝置，鑑識人員將欲鑑識的裝置與電腦作為連接後，再透過鑑識軟體，萃取手持式裝置中的資料。

XRY設計用途是為協助鑑識人員利用各種鑑識手法回復資料，其應用極為廣泛，如犯罪偵查、情報操作、資料探詢。除此之外，也適用於法庭、軍事用途和情報單位，在本操作中，將運用其邏輯萃取功能對智慧型手機進行資料萃取。

i2 Analyst’s Notebook

i2 Analyst’s Notebook（http://www.i2group.com/）提供完整且豐富的協作分析功能和視覺化呈現的技術，可幫助分析者快速地將極為大量且無章法的資料，轉變為具有高度價值、可自行操作設定的情報，一般廣泛運用於犯罪和恐怖主義的預防。在本實驗中，將運用其分析功能，對萃取出的聯絡人和通聯紀錄進行視覺化分析。

分析鑑識內容

本例的鑑識內容將以聯絡人為主軸之分析、以通聯紀錄為主軸之分析，以及通聯紀錄、聯絡人和移動區域之整合分析三方面來進行探討。

以聯絡人為主軸之分析

首先對楊姓線民手機以XRY進行鑑識，萃取相關數位跡證。為有效蒐集關鍵資料，鑑識人員必須將初步判斷、篩選萃取出的資料，經此一步驟後，可有效獲取有價值性的數位跡證，有利於鑑識工作，如表3所示。

表3 手機鑑識之數位證據以及其鑑識效用