行動裝置成為非法活動的工具及媒介,因此行動鑑識受到大家重視,儲存在於手機中的資料,若是能透過行動裝置的鑑識軟體加以分析和利用,將能夠讓證據更具可信度,如何取得這些關鍵證據,已變成現今鑑識人員的一大課題。
在查扣相關證物後,發現其手機設有密碼,且疑似有部分證據已遭刪除。調查人員將其交由鑑識人員進行分析,利用手機鑑識軟體萃取其內容,希望進一步找出其販毒的證據。
首先,鑑識人員藉由上述利用XRY軟體所提供之製作手機映像檔的步驟,如圖4~5所示,將手機儲存體中的內容取出,並且從中找出有用的證據。如圖12所示,得到甲君與其他受害者傳遞的簡訊內容,並且將此作為證據以供後續追蹤之用。
 |
| ▲圖12 手機簡訊內容。 |
得到其他受害者的訊息後,更能掌握證據,並鎖定該特定人士,藉由萃取手機通聯資料了解甲君與其他受害者的通訊往來紀錄,並且同步清查甲君名下的金融帳戶,找尋其是否有不法利益的金流紀錄。於清查後,發現其帳戶並無可疑之轉入轉出款項,但卻有大筆金額的存入與提出,研判其可能為避免留下轉帳證據而採用當面交付利益的方式。
藉由通聯紀錄的萃取,遂發現甲君於2012年12月21日時與該張姓受害者有短暫且密集聯絡的紀錄,研判該日甲君可能與張姓受害者相約見面,如圖13所示。
 |
| ▲圖13 手機通聯紀錄。 |
為找尋甲君與張姓受害者碰面的紀錄,利用萃取到的經緯度定位資料,比對該日兩人密集通聯時間前後所定位的位置,找到(121.515, 25.0423)及(121.523, 25.0425)兩筆資料,如圖14所示。
 |
| ▲圖14 手機GPS定位資料。 |
藉由Google Map等其他圖資工具,如圖15所示,調查人員得知甲君於2012年12月21日中午時段曾經出現於台北市二二八和平紀念公園附近,並可能於該處與張姓受害者碰面,掌握時間與地點後,調查人員可以查訪附近居民,或調閱附近便利商店或餐廳之監視紀錄,進而找出更多其販毒證據。
 |
| ▲圖15 Google Map地圖工具。 |
結語
本文介紹了兩種常見的行動鑑識軟體,以及從中尋找有價值的資料,並比較兩項常見鑑識軟體的差異,但是現今手機推陳出新,手機鑑識軟體不一定都能夠跟上其發展的腳步,因此如何即時更新取得新型手機的資料,仍然是需要持續發展的目標。
<作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>