由於App-LINE的使用者占了所有使用通訊App用戶中極高的比例,因此這裡將透過工具來管理Apple iTunes官方軟體所建立的備份資料,並從中萃取及還原出許多手機相關內部資訊,也針對LINE在備份檔案中做相關的鑑識與分析,以協助鑑識人員了解曾使用手機從事何事並進一步釐清真相。
另外,當iTunes與iPhone介接時,可於畫面上直接得知iPhone的設備摘要資訊,如設備名稱、容量、版本及序號等等,並會自動檢測作業系統的版本,若有更新版本或想恢復初始設定,可直接點選更新或回復,如圖1所示。
 |
| ▲圖1 iPhone手機介接iTunes主畫面資訊。 |
通常,使用者在使用Apple iTunes時為了讓電腦與iPhone能夠保持一致性,均會設定讓電腦中的內容能夠自動與手機做同步處理。
若執行備份動作,僅需在圖1的左邊窗格找到iPhone手機,以滑鼠於上方點按右鍵後選擇【備份】,即能完成iPhone的手機備份動作。
透過Apple iTunes所執行的備份,其備份檔案會因作業系統不同而儲存在電腦中的不同路徑,彙整如表1。
表1 iTunes備份檔案儲存路徑
在Windows作業系統下,部分資料夾可能預先設定為隱藏,必須先在「資料夾選項」視窗中將其設定為顯示,才能看得到相關資料。
開啟「Backup」資料夾時,可發現裡面有一個以16進位的數字與字元所組合而成(0-9與a-f)、長度為40個字元的資料夾名稱。這個由40個字元組合成的HASH code是由iTunes在執行備份時所賦予的特殊編碼,這個資料夾裡面同時也存放著上百個同樣由16進位的40個數字與字元所命名的檔案,這些檔案即是iTunes由iPhone手機的內部記憶體中所複製出來的各類資料,並同樣賦予獨特的40字元組成之檔案識別名稱。
備份出來的檔案因iOS的版本而有不同的副檔名,彙整如表2。在iPhone手機內部的檔案系統中,以兩種不同的檔案格式儲存資料。手機中的設定值、狀態資訊、應用程式設定與偏好設定是以XML的格式儲存於plist檔案內;而諸如手機內容、通話紀錄、備忘錄、行事曆與簡訊等,則是以SQLite的資料庫格式所儲存。
表2 備份檔案副檔名與iOS對照表
工具與軟體介紹
以下介紹LINE與iTools這兩種相關軟體的功能與特性。
LINE
LINE是一種用戶間可以不分國界、不分電訊網路而享用免費語音通話、傳送免費短訊的智慧手機應用程式。自2011年6月發布以來,截至2012年3月5日約8個月內,全世界下載量已達到兩千萬次(iPhone/Android合計),增長快速。在電腦上安裝專用程式,即可在電腦上使用LINE,突破了以往僅能於智慧手機上使用的限制。並且,同時發布的智能平板電腦網頁版,可於iPad、Android Tablet等智慧平板終端上使用。利用平板電腦的大畫面,用戶無論在家或是在公司都可以輕鬆使用。
iTools
使用iOS系統相關設備(iPhone、iPad、iPod touch等)的使用者都知道Apple產品有一個共通的缺點,就是iTunes在使用上有一定的限制,因此iTools便是非官方第三人所開發出來方便化管理iOS系統相關設備的一個人性化的工具,其功能讓使用者可以用拖拉的方式管理檔案,也可針對備份進行管理。
LINE的iPhone備份檔案解析
以下從使用iTools工具管理備份檔案以及管理LINE的備份檔案並解析兩方面來進行說明。
使用iTools工具管理備份檔案
iTools工具的功能讓使用者可以更自由地管理iPhone手機,而其另外一個好處是能夠直接以模擬手機連結的方式管理備份檔案,並讓備份檔案的資料以介面化的方式呈現,有助於尋找各種資訊。如圖2所示,只需將備份檔案匯入iTools工具內,便能做進一步的管理。
 |
| ▲ 圖2 在iTools切換至「工具箱」畫面,然後點選「iTunes備份管理」來使用「導入」功能。 |
管理LINE備份檔案並解析
以iTools將備份檔案打開後,在「/var/mobile/Applications」資料夾內便會看見以介面化所呈現的APP分類資料夾,並在其中的「jp.naver.line/Documents/」資料夾裡找到一個talk.sqlite檔案,由於副檔名可明顯辨識,所以使用「sqlitebrowser」打開,發現其中存放了LINE程式過去所有的聊天紀錄。
將其切換至「Browse Data」頁面,並檢視「ZMESSAGE」資料表,發現在「ZTEXT」欄位內便是使用者聊天的內容,並且進一步發現在「ZMESSAGETYPE」中S代表使用者所發送出的內容,而R表示使用者接收的內容,如圖3所示。
 |
| ▲圖3 talk.sqlite檔案當中所包含的聊天資訊。 |