Google可透過「傳統印表機」提供雲端列印服務,若使用Google Android Debug Bridge對行動裝置進行實體萃取,再將獲取的映像檔匯入Autopsy鑑識工具,即可找出雲端列印的蛛絲馬跡。雖然Google雲端列印不會保存列印暫存檔案,但卻詳細記錄了列印工作,足以指引後續的偵查方向。
實驗操作流程說明
這裡採用ROOT ASUS Zenfone 2智慧型手機(內含Android 5.0版本)來實驗操作Google雲端列印,而Google雲端列印支援的印表機選擇以「傳統印表機」方式進行列印,印表機則採用HP LaserJet M426fdn,透過智慧型手機操作Google雲端列印。隨後使用ADB工具對智慧型手機進行實體萃取,並使用免費鑑識工具Autopsy,對萃取出來的裝置映像檔進行檢視分析,尋找雲端列印的蛛絲馬跡。
Google雲端列印設定
新型的印表機都配有支援雲端網路連線功能,讓使用者可透過雲端連線方式,隨時隨地透過手邊的行動裝置進行列印,然而現今絕大部分傳統印表機並沒有連網的服務。Google針對以上的問題提出解決方案,如圖1所示,可透過區域網路內與印表機連線的電腦為媒介,只要該電腦持續連接網路,使用者就可以將行動裝置內需要列印的資料,透過Google帳號綁定的方式,上傳至Google雲端伺服器,隨後將列印工作提交到本地的印表機進行列印。接下來,就Google雲端列印在電腦端與行動裝置的設定做介紹。
 |
| ▲圖1 Google雲端列印流程。 |
電腦端設定
開啟Google Chrome瀏覽器,依序點選「設定」→「Google雲端列印」→「管理」。系統會列出已註冊Google雲端列印的裝置和網路上可用的新裝置,在「傳統印表機」底下按一下「新增印表機」,可新增區域網路內的印表機。
行動裝置端設定
接著,確認目前手機上已安裝了雲端列印。然後,開啟行動裝置的「設定」選項,在「系統」畫面下,選取「列印」。如果並未看到列印選項,請前往Google Play Store下載並安裝Google雲端列印應用程式。
安裝完畢,即可啟用雲端列印功能,Google雲端列印可從「本地」與「網路」選擇檔案列印,「本地」選擇提供的功能選項有檔案、圖片、繪圖、簡訊、聯絡人、掃描文件、記事本等列印功能,而「網路」選擇則提供使用者可透過Facebook、Dropbox、Google Drive、SkyDrive、網頁、電子郵件等方式進行列印。除此之外,還羅列出使用者曾列印過的檔案資訊,包括日期、檔名、列印狀況、印表機,如圖2所示。
 |
| ▲圖2 Google雲端列印操作介面。 |
行動裝置映像檔萃取
本實驗流程圖如圖3所示,以下詳細說明相關行動裝置映像檔萃取操作步驟:
 |
| ▲圖3 實驗流程圖。 |
一開始,先點選的手機「設定」→「關於手機」選項,持續點擊「軟體版本」,直到成為開發人員。接著,點選「設定」→「開發人員選項」,然後勾選「USB偵錯」。
隨後將USB線連接手機至電腦,並到Download Android Studio and SDK Tools網站下載連接手機與電腦的ADB工具。由於ADB本身所提供的指令集不多,若有需要使用到其他常用的Linux指令「dd」,必須到Google Play去下載安裝BusyBox,它提供了ROOT手機精簡的Unix工具集。
在ADB命令提示字元輸入「adb start-server」啟動ADB伺服器,接著使用「adb devices」指令查看Android設備是否與電腦順利連接。然後,執行「adb shell」指令進入ADB Server遠端操控,請透過「su」以最高權限使用者身分執行,符號將從$轉換成#。最後下達「busybox df -h」指令查看系統的分割區路徑、容量大小、已使用空間、剩餘空間以及掛載的檔案系統。
使用者安裝的應用程式資料會存放於「data」分割區內,從這裡可以發現許多程式在執行過程中所留下的蛛絲馬跡,因此對「data」分割區路徑(/dev/block/by-name/data)進行「dd」指令的實體檔案資料萃取,執行「busybox dd if=/dev/block/ by-name /data of=/storage/MicroSD/userdata.img conv=noerror bs=4096」,利用「dd」指令可以快速對手機進行以位元為單位(Bit-by-bit)的實體記憶體複製(Physical Imaging),「if」是為了進行實體資料萃取的分割區,「of」代表所產生的映像檔的輸出路徑,將檔案輸出到外接SD卡中,並命名輸出的映像檔為「userdata.img」,「conv=noerror」表示若發生錯誤還是繼續執行,「bs」則可以指定Block Size,一次讀取與寫入位元組(Bytes)的資料。
完成「data」分割區的資料萃取後,在「/storage /MicroSD」路徑底下,可以發現執行後所產生的「userdata.img」映像檔。然後使用「adb pull /storage/MicroSD/userdata.img C:\ImageData」指令,將「data」分割區的映像檔輸出到Windows電腦C槽的「ImageData」資料夾。
行動裝置調查重點在於資料庫鑑識,資料庫記錄了許多應用程式在執行過程中的重要資訊,可藉此了解用戶的使用行為。本實驗執行鑑識工具Autopsy分析取得的映像檔,在雲端列印資料夾「data/com.google.android.apps.cloudprint」路徑下,成功取得了雲端列印資料庫「CloudPrint.db」,使用DB Browser for SQLite將萃取出來的資料庫打開檢視,如圖4所示。
 |
| ▲圖4 DB Browser for SQLite打開資料庫。 |