行動裝置成為非法活動的工具及媒介,因此行動鑑識受到大家重視,儲存在於手機中的資料,若是能透過行動裝置的鑑識軟體加以分析和利用,將能夠讓證據更具可信度,如何取得這些關鍵證據,已變成現今鑑識人員的一大課題。
XRY系統也可同時針對邏輯資料(檔案操作系統上的所有資料)和實體資料(手機或記憶卡等記憶儲存體上所有位置的資料)進行檢查。雖然邏輯資料的還原可獲得更多設備更好的支援,但是檢查實體資料能夠還原被刪除的訊息,包括SMS文字訊息、圖像和通話紀錄等。而XRY的實際操作介面,如圖4所示。
 |
| ▲圖4 XRY軟體操作介面。 |
XRY最新的版本能夠還原智慧型手機應用程式上的數據,例如搭載Android、黑莓的手機以及iPhone上的應用程式。XRY還原數據已成功地應用於世界各地的不同的法院系統。
以下就以Apple iPhone 4手機為實例操作,示範如何對手機製作備份的映像檔,並且從中尋找可供參考的數位證據:
首先,在如圖4所示的操作介面中點選萃取資料(Extract Data)。
接著,透過XRY Wizard的引導來選擇手機型號、連結方式、萃取方式,如圖5所示。
 |
| ▲圖5 XRY Wizard顯示畫面。 |
之後便可以檢視手機中的資料,如圖6~8所示。
 |
| ▲圖6 通話紀錄。 |
 |
| ▲圖7 簡訊紀錄。 |
 |
| ▲圖8 檔案資料。 |
MOBILedit!
MOBILedit!軟體與上述介紹的XRY軟體功能大同小異,也提供手機資料的備份與還原、通訊錄工具列功能、文字訊息列功能、SIM資料的檢視及輸出鑑識報告等功能。
此外,MOBILedit!更提供個人電腦操作介面,讓使用者可以透過PC端控制行動電話。例如通訊錄工具功能,使用者可直接於主機端進行新建、編輯、刪除、發送簡訊或撥打電話等。可透過傳輸線、紅外線或藍牙的介面與手機連結,直接在主機上查看手機內容。
MOBILedit!著重於手機與電腦間連結以及輔助的應用介面,亦可在主機上直接回復簡訊或將其移至檔案備份處,即使手機螢幕損壞,仍能使用MOBILedit!對手機進行操作。MOBILedit!與XRY最大的不同點是,其備份資料時可以僅選擇手機內特定或單一資料夾,但無法提供實體萃取的解碼功能。MOBILedit!的操作介面,如圖9~10所示。
 |
| ▲圖9 MOBILedit!操作介面。 |
 |
| ▲圖10 在Backup Wizard內可以選取單一資料夾。 |
MOBILedit!的備份功能會將儲存在手機設備或SIM內的個人資料如用戶資訊、設備的細節、電話簿、SIM卡電話簿、未接來電、最後一個撥打號碼、已接電話、收件箱、已發送郵件、草稿、文件夾等,保存在MOBILedit!裡。另外,還原功能可將備份的資料還原到同一個手機設備裡或是其他的行動裝置內。
MOBILedit!著重於手機與電腦間連結,以及輔助的應用介面,即使手機螢幕損壞,仍能使用MOBILedit!對手機進行操作,如圖11所示。
 |
| ▲圖11 以電腦端編輯簡訊。 |
實例演練
「想不想來點提神的東西?」甲君透過網路遊戲留天室,鎖定長時間在線上、玩遊戲玩通宵的玩家,向其兜售安非他命等毒品,若玩家想進一步詢問,則以手機聯絡相約交易時間和地點,進行面交。一名失業男子玩網路遊戲在線上認識甲君,先後與其毒品交易數次,因而染上毒品,後因沒錢、毒癮又犯,向甲君要些安非他命解癮,卻遭甲君辱罵,氣不過爾後向執法單位報案毒品交易事件。
執法單位介入調查毒品交易事件。調查過程中,藉由遊戲的同好與甲君討論遊戲,降低其戒心,並表明想買毒品,在交易的同時,逮捕甲君。甲君矢口否認販賣毒品,但在其身上搜出K他命2公克、安非他命0.5公克、手機4支等證物。