留意數位證據完整性 越獄iPhone手機謹慎取證

使用XRY手機鑑識軟體

使用XRY手機鑑識軟體工具進行鑑識工作，分為實體萃取與邏輯萃取兩部分。

進行實體萃取

經實體萃取發現，不論Jailbreak程序前後的狀態，XRY均無法執行實體萃取。不過在日前XRY發布的6.2版更新程式中，已標榜可針對iOS 4.3版與5.1版進行實體萃取與解碼的功能，由圖1可知其對於iPhone手機實體萃取的最新支援程度。

▲圖1 XRY 6.2版對iPhone實體萃取支援度。

採用邏輯萃取

使用XRY針對iPhone手機執行Jailbreak程序前後所進行的邏輯萃取，前後差異彙整如表2所示。其中，主目錄與子目錄的類別為XRY所預設之萃取結果分類方法。

表2 JB前後XRY邏輯萃取差異對照表

在萃取的過程中，從所花的時間和檔案的大小，很容易發現執行Jailbreak程序前後的狀態有很大的不同。在Jailbreak程序後的萃取上所花費的時間與所獲得的檔案大小，相較於Jailbreak程序前都有明顯的改變。如此變化的原因也可以從萃取到的內容中得知。

相較於萃取檔案名稱「JB前.xry」，檔案名稱「JB後.xry」的內容多出的項目有Network Information、App Usage、Emails、Audio與Archives，而有變化的項目包括Locations/History、Pictures、Documents與Unrecognized。

在多出來的項目中，Network Information列出了iPhone手機內部的3G網卡、Wi-Fi網卡與連線紀錄等資訊。App Usage列出了使用應用程式的個別次數與總次數。Emails則列出在iPhone手機上設定同步的電子郵件，最多可載入50筆電子郵件內容於iPhone手機上。

Audio除了表列出使用Apple iTunes同步到iPhone手機上的該筆音樂外，其餘111筆皆為系統內部所使用的鈴聲與系統預設音樂。而Archives則顯示系統歸檔的文件。其中，Emails列出的資訊完整且詳細，可視為執行萃取的關鍵性數位證據之一，如圖2所示。

▲圖2 Jailbreak後萃取的Emails相關資訊。

在有變化的項目中，Locations/History在「JB前.xry」內所呈現的紀錄僅為使用Google Maps的定位資訊，但在「JB後.xry」內所呈現的是透過GSM與Wi-Fi熱點所自動執行的定位資訊，其中也包含「JB前.xry」內的該筆Google Map定位資訊，詳細內容如圖3所示。

▲圖3 Jailbreak後所萃取出之自動定位資訊。

另外，在Pictures的部分，於「JB前.xry」內所呈現的紀錄僅為背景圖片縮圖、使用內建相機拍攝的照片及其縮圖、本文預設同步到iPhone手機上的音樂檔案、其音樂封面圖案及縮圖等5筆資料，但於「JB後.xry」內所呈現的，除了該5筆圖片資料外，其餘皆為系統所使用的系統圖片與縮圖。

採用iTunes檔案備份

使用Apple iTunes檔案備份時，針對iPhone手機執行Jailbreak程序前後狀態進行邏輯萃取的觀察，有特別的發現。本文將執行Jailbreak程序前後的備份檔案進行比對，結果發現針對兩種不同狀態所萃取出的備份檔案數量均相同，都是114個。

為確保Jailbreak程序前後，其備份檔案所得到的檔案內容具有差異性，這裡對每一份檔案名稱與檔案大小進行比對。結果發現，在執行Jailbreak程序前後所萃取出來的兩個備份檔案資料夾「JB前」與「JB後」內，各自的114筆檔案，不論檔案名稱或是檔案大小，均呈現相同的狀態。藉此可以認定，使用Apple iTunes備份來進行手機數位鑑識方法，iPhone執行Jailbreak程序與否，並不會影響數位鑑識報告與結果的呈現。

結語

由於iPhone手機iOS作業系統的保護機制，對於需要面對iPhone手機證物並執行數位鑑識的人員而言，將是一個需要克服的難題。Jailbreak程序是一種克服的方法，然而卻衍生出對於關鍵性數位證據可能造成異動的爭議。透過實際操作與測試，彙整出Jailbreak程序前後對於關鍵性數位證據鑑識報告產出的影響。由操作結果得知，Jailbreak程序對於數位鑑識而言，似乎不會造成關鍵性數位證據異動的情形，反而可以讓資訊人員使用鑑識工具軟體萃取出更多有價值的數位證據。