本文將先概略說明手機鑑識證據的來源和萃取方式,再介紹經由鑑識工具和資料分析工具的結合應用,對手機的數位證據進行鑑識,找出有助於鑑識人員的資訊,讓證據自己說話,發揮其協助執法與鑑識單位的最大效益。
針對上述的數位證據,鑑識人員運用XRY鑑識軟體,將通聯紀錄、簡訊往來和聯絡人彙整成列表,此一做法可方便釐清楊姓線民與聯絡人間的往來狀況,讓雙方互動的時間和資訊能夠一目了然(圖2)。
 |
| ▲圖2 XRY可將手機的通聯鑑識紀錄條列式顯示。 |
但是,條列式的資料沒有那麼直觀,讓鑑識人員分析資料間的關聯。因此運用i2資料分析軟體,將鑑識記錄中的通聯紀錄往來匯入分析,使其視覺化呈現。
首先,以通話頻率為脈絡進行分析。將楊姓線民的手機以XRY進行鑑識,並且利用i2進行通聯分析,得到如圖3所示的雀屏圖。
 |
| ▲圖3 條列式的通聯紀錄經鑑識後再以i2分析軟體進行視覺化呈現。 |
經由雀屏圖,鑑識人員可以簡單明瞭地檢視楊姓線民與每位聯絡人之間的聯絡頻率和狀況,如圖4所示。
 |
| ▲ 圖4 運用i2軟體進行分析,楊姓線民與各聯絡人之間的通話頻率、次數一覽無遺,便於分析。 |
為更進一步得到更詳盡的社群網路分析,可再逐次加入分析另一支手機的通聯紀錄,觀察其有無通聯紀錄交集之處。
如圖4雀屏圖中所示,在楊姓線民分析所顯示的門號中,再加入另一重要關係人的門號,同樣進行通聯紀錄鑑識和分析。
再與楊姓線民的門號一同呈現後,發現有不少交集的聯絡人,如圖5所示。由此,鑑識人員可以推斷,交集的聯絡人代表可能存在共同的社交圈。
 |
| ▲圖5 將兩門號進行通聯分析後呈現。 |
藉由繼續加入多位關係人手機的通聯紀錄分析並進行雀屏圖分析後,可檢視出不同手機之間的聯絡人通聯情形,相當地一目了然。
在圖6中,再加入三支手機進行通聯分析,在此一過程當中,i2便會漸漸顯示出手機使用者的社群網路雛形。
 |
| ▲圖6 經由多項門號分析,建構出社交圈雛形。 |
如圖6所呈現的環狀交集,即可能是手機持有人具有共同社交圈,或者是唯一使用者持有多支手機門號。憑藉這個分析方式即可以幫助鑑識人員建構出更為完整的鑑識內容,找出數位跡證所隱藏的關聯性。
例如,在i2雀屏圖中觀察楊姓線民與關係人間共同擁有交集的對象,判斷此社交圈的核心,也能幫助鑑識人員判斷其他可能也是車手的嫌犯、毒品上游供應者。
以通聯紀錄為主軸之分析
除了分析通話頻率外,鑑識人員可再以時間軸為觀察脈絡。藉由XRY將通訊資料檔匯入i2中進行分析,如圖7所示。
 |
| ▲圖7 以時間為脈絡檢視手機楊姓線民的通聯情形。 |
鑑識人員透過檢視楊姓線民近期的通話紀錄,除了可以確切掌握通話事件的發生時間外,也能由固定的通話時間、頻率的整理與檢視分析,找出特殊規則,如圖7所示。
由表4可以得知,在進行通聯事件分析時,除了必須注意高通話頻率、高通話時間的門號外,還須將一些特殊的徵兆一併列入考慮,因為在這些特殊的規則中可能隱藏著其他含意,如此才不會遺漏重要跡象與證據。
表4 手機通聯時間脈絡之分析重點及分析內涵