Instagram是近年興起的社交應用程式,由於該程式是以分享圖片為主,所以非法者可能利用其進行犯意溝通,而鑑識人員也可依照圖片的Metadata得知非法者行蹤。本文將透過數位鑑識工具萃取有關的圖片,並進一步分析以了解手機使用者從事的任何活動來幫助釐清案情。
圖5顯示出搜尋的結果,其中pictures皆為jpg檔,documents多為Xml檔,archives為apk檔,而unrecognized則大部分是db檔,如圖6?圖8所示。
 |
| ▲圖5 Instagram相關檔案。 |
 |
| ▲圖6 jpg檔。 |
 |
| ▲圖7 Xml檔。 |
 |
| ▲圖8 db檔。 |
此外,從圖9中的MetaData欄位可以得知使用者拍攝照片的GPS位置,而Modified欄位顯示這張照片是何時被修改的,其他欄位則說明了與照片相關的資訊。
 |
| ▲圖9 圖片資訊。 |
手機內有關Instagram的資料庫檔案可以找到Instagram的登入帳號,而每一帳號都有一個對應的識別號碼,如圖10所示。
 |
| ▲圖10 使用者帳號資訊。 |
開啟Xml檔,亦可得出此識別號碼、大頭照與使用者帳號,如圖11所示。
 |
| ▲圖11 使用者帳號資訊。 |
利用這些資訊可觀察Instagram中使用者帳號的相關資訊,以及搜尋使用者的個人資料。
若有傳送圖片給其他用戶,將會產生另一個Xml檔,記錄所傳送對象的帳號對應識別號碼、大頭照以及使用者帳號,如圖12所示。
 |
| ▲圖12 傳送對象帳號資訊。 |
Instagram也可以將圖片分享至其他社群網站或其他應用程式,例如Facebook、Twitter或Flicker等等,圖13顯示此上傳的圖片皆未分享至其他應用程式。
 |
| ▲圖13 圖片分享資訊。 |
表1整理出利用鑑識工具XRY可以從手機中找到哪些有關Instagram的有用資訊,以及資訊的存放位址。
表1 Instagram相關檔案存放位置
案例解析
甲於Instagram上經營網路拍賣,某日乙報案,稱其於Instagram上向甲購買一支原價3,000元的二手名表,撥打甲的聯絡電話協商買賣,乙匯款給甲後卻收到一支他牌手表,向甲反應卻毫無回應,而甲的Instagram上拍賣的手表卻已變更成乙收到的他牌手表。
利用甲留下之手機號碼,循線找出甲的住處,甲聲稱當初與乙協商交易的商品為其Instagram上分享之他牌手表,因為其款式為限量版,所以以高價出售。
搜查人員持搜索票進入並扣押查獲甲聲稱之手表10支,以及甲的電腦與手機,將其交由鑑識人員進行分析,發現甲只有透過手機使用Instagram,因此就可以利用手機鑑識軟體萃取手機內容,找出有用的證據。