在成熟的技術與硬體飛速發展的支持之下,網路通訊軟體越來越強大且受到重視,Skype通訊軟體便是眾多著名的通訊軟體之一。為此,本文將針對Skype進行介紹及探討,包含構成Skype的背景、如何運作、未來趨勢以及關於鑑識方面的討論分析,藉此讓Skype的安全議題得以受到重視。
步驟3:蒐集聯絡人清單
聯絡人清單是呈現嫌疑犯甲員的社交網路以及人際關係鏈的輪廓,這將有助於線索的追查,用來對照連絡的細節。
在Skype系統內,每個聯絡人列表的成員都是以ID來識別。在本文範例中,以關鍵字vance0831搜尋,從記憶體映像檔內搜集到聯絡人清單裡的Skype帳號,就是x5642000(圖9)。
 |
| ▲圖9 蒐集聯絡人資料。 |
然後,對應到x5642000的相關資訊,在瀏覽器以萬國碼(UTF-8)編碼方式瀏覽,可以得知使用者其聯絡人的一些設定資訊。
中文字呈現出來會變成亂碼,這個問題可以使用瀏覽器來開啟這些訊息,之後將其轉換成可讀的中文字。假設現在聯絡人x5642000的設定資訊(以自我介紹為例)是「我憎恨藍色,綠色才是我的道路」,如圖10所示。
 |
| ▲圖10 聯絡人的相關資料。 |
 |
| ▲圖11 利用WinHex解讀聯絡人的相關資料而產生出的亂碼。 |
當利用WinHex去讀取映像檔時,會出現如圖11的亂碼。這些亂碼再經由瀏覽器(以Chrome為例)開啟之後,就會成功地讀取到聯絡人x5642000的設定資訊(圖12)。
 |
| ▲ 圖12 利用Chrome瀏覽器將WinHex所得到的亂碼解成可讀的中文。 |
步驟4:解讀聯絡內容
聯絡內容包括嫌疑犯甲員與聯絡人彼此間所傳送的資料。回復聯絡內容,可以提供鑑識人員追查的線索。假如嫌疑犯甲員和成員間的聯絡內容可以被確認,攻擊活動的資訊就可以因此被推論出來。
例如,有些聯絡內容可以查明攻擊活動是發生在哪個特定時間(特定細節),或者哪些人執行某些特定的行動。回復聯絡內容也可以協助提供人際關係,藉此幫助鑑識人員定義嫌疑犯甲員和其他共犯之間的人際關係。
經由步驟1所取得的記憶體中的內容及步驟2所取得的帳號,可以用關鍵字#($)vance0831來搜索通訊內容,之所以使用這關鍵字,是因為Skype的通話紀錄的開頭會以#帳號/$帳號表示建立通訊的雙方紀錄。同樣以瀏覽器進行編碼,就可以搜集到使用者使用通訊軟體所對談的內容。
例如,現在聯絡人x5642000傳送訊息「之前計畫所需要的貨已經到手了,預計這禮拜天在台北車站執行」給甲員(ID為vance0831)。
當鑑識人員利用步驟1?3取得甲員的ID和聯絡人x5642000的資料之後,鑑識人員利用WinHex來讀取映像檔,並尋找#($)vance0831的關鍵字(圖13),再利用瀏覽器對此關鍵字之後的字串進行解讀(圖14)。如此就可以找到犯罪的證據。
 |
| ▲圖13 尋找犯罪者和聯絡人間聯絡內容的關鍵字。 |
 |
| ▲圖14 利用瀏覽器解讀聯絡內容。 |
結語
Skype是一種運用P2P技術的VoIP應用程式,其語音通訊與強大的安全政策被認為是可用來進行恐怖行動的工具。
隨著網際網路的快速發展及全球網路漸趨完備之際,語音通訊軟體在未來的鑑識工作中將佔有極重要的地位,可藉由本文Skype鑑識操作所取得的資料,以成為有用的數位證據。