伴隨著i裝置新品的接力發表,作為其作業系統的iOS翻新步調也更加地頻繁。iOS每次的版本更新,除了使消費者驚奇,也趁機修補自身的漏洞與缺失,加強防駭防毒,但如此一來也讓相關的數位採證鑑識工作難度攀升。
1. 手動檢視
調查人員直接檢視iOS智慧型裝置的現有資訊,如簡訊、通訊錄、通話紀錄、信箱內容、通訊App聊天、照片、行事曆、記事本等,凡A君未執行刪除的內容均可以直接於裝置上找的相關線索,找出A君的交易對象、交易內容與交易時間。
2. 電腦備份檔案
所有iOS智慧裝置使用者,均會將裝置與自己的電腦進行備份,因此調查人員可以利用iBackup Viewer直接對電腦進行備份檔案的檢視與數位證據的採集,透過備份鑑識軟體可以看到A君最近一次備份的檔案內容,更有助於完整推估犯罪行為的完整性。
3. 實體與邏輯萃取
如本文所提及,A君使用的是有Bootrom漏洞的iPhone 4裝置,調查人員利用該漏洞對iPhone 4裝置進行完整的實體萃取,並將裝置與調查實驗室的電腦進行新的備份以進行邏輯萃取,以利於刪除紀錄的還原與分析,其中實體萃取的檔案中包含GPS紀錄,可在後續分析A君平時活動路線。
4. iPhone Tracker追蹤跡
調查人員藉由實體萃取後成功取得GPS紀錄檔consolidated.db,利用iPhone Tracker以軟體功能直接匯入紀錄檔,即可輸出裝置完整的GPS紀錄圖像,配合其他資訊推測出A君的交易地點清單。
藉由這四個方向,可以較完整地找出非法者利用智慧型裝置當聯絡工具的交易紀錄,有助於搜查出更詳細的交易對象清單和交易罪證,讓後續司法調查目標更為明確,減少案情調查人員調查的時間。
結語
在現今的生活裡,充斥著無數的智慧裝置,當然iOS裝置是許多人的智慧型裝置首選,而使用這些iOS裝置的使用者,從擁有裝置的第一刻到脫手的最後一刻,所有的使用者資料都是毫無遺漏地保存在裝置裡。
當然,如果裝置使用者是犯罪者,就算簡訊或App聊天紀錄已被刻意刪除,刪除的紀錄依然保存在裝置內,等著被人挖掘和發現。
雖然Apple陸續增加裝置的安全性機制,但是鑑識技術的研發腳步也是不斷地進步與創新,資訊人員只要不斷學習這些新知,就可以從這些裝置中萃取出所需要的資料,找出司法所需的數位證據,讓這些數位證據在司法中更有佐證的價值。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>