視覺化地圖還原定位紀錄　重現使用者移動軌跡

軟體工具

這裡將介紹ADB（Android Debug Bridge）和ABE（Android Backup Extractor）這兩種軟體工具。ADB是Android軟體開發者工具套件（SDK）中的一個除錯工具，使用者可透過指令介面以Linux Shell方式操作Android系統，進行資料備份、修改設定或查詢設備狀態資訊等動作。以手機鑑識角度來說，ADB可直接存取Android系統底層資料，避免關鍵數位證據於使用者介面下為隱藏狀態而被忽略。但預設的ADB執行權限並非root，若執行的指令或欲蒐集的資料需要root權限，則必須先進行權限提升才能執行。

而ABE是一個以Java撰寫的開源解壓縮工具，適用於Windows、Linux及OS X等系統，可解開副檔名為ab的無加密檔案。假設有一個沒有密碼保護的檔案「evidence.ab」，在Windows作業系統環境下需要被解壓縮成為副檔名tar的檔案，則應執行「java.exe –jar abe.jar unpack evidence.ab evidence.tar」這樣的指令。

進行實際測試

接下來，將以實際測試的方式來說明整個操作過程。首先說明目的和做法，然後介紹實測環境，並示範解說實作過程。

實作目的及做法

本文將實作從Android智慧型手機中擷取出App的GPS歷程資料，並將其軌跡重現在地圖上，提供鑑識分析人員取得視覺化數位證據的實務做法。

首先，步驟一須準備有GPS功能的Android智慧型手機，以及可用於記錄運動狀態的App，並測試是否可透過ADB存取App的紀錄檔案。步驟二為實際移動並確認完成GPS軌跡紀錄後再使用ADB擷取手機邏輯檔案。

而步驟三是透過解壓縮工具ABE將擷取出來的邏輯檔案（副檔名為ab）提取（Extract）成可讓鑑識分析人員解讀內容的檔案，再從其中找出App裡儲存GPS定位資料的檔案位置。最後，匯入My Maps – Google中，重現使用者在地圖上的運動軌跡，藉由圖形可直覺判斷是否有異常現象，全部實驗流程如圖2所示。

▲圖2 實驗流程示意圖。

實測環境與限制

可用於記錄運動狀態的App種類繁多，本文選擇「Nike+ Run Club」、「RunKeeper」及「Endomondo」等三款較為熱門的App，作為前述實驗流程中測試是否可用ADB擷取資料之標的。判斷方式為檢查App程式安裝檔（Android Package，APK）中的AndroidManifest.xml設定值內容，該設定值檔案為應用程式的安裝相關參數，於此檔案中可以找出android:allowBackup，此設定值若為0，表示無法用ADB進行備份。

以Endomondo運動App進行APK設定檔檢查為例，首先從網路上下載Endomondo App的APK檔以及AAPT（Android Asset Packaging Tool）軟體工具。

使用AAPT時，在命令提示字元介面下可將APK檔案中的AndroidManifest.xml檔案取出並重新編碼成文字檔案，其指令及語法如圖3所示，輸出的檔案為demo.txt。

▲圖3 使用AAPT軟體工具取出AndroidManifest.xml檔案。

然後，查看android:allowBackup的設定值，以確認是否能用ADB進行備份工作，圖4是demo.txt內容，可以發現android:allowBackup的數值為0，表示無法利用ADB複製。

▲圖4 查詢android:allowBackup數值。

用前述檢查方法分析本文選擇的三款熱門運動App後，整理其結果如表1所示，由此得知RunKeeper App可以進行邏輯備份，因此選擇RunKeeper App做為本文實作對象。

表1 運動App可否用ADB複製之檢查結果

執行本文實驗所使用之軟體與硬體環境，分別列於表2與表3。軟體工具部分，除了RunKeeper App外，其餘皆安裝於筆記型電腦中。

表2 軟體工具版本及功能說明

表3 實驗的硬體環境

執行ADB之前，手機必須開啟USB偵錯（USB Debugging），並且需要安裝手機驅動程式，以本文選用的ASUS Zenfone 2為例，應下載並安裝ASUS Android ADB Interface，才能使ADB正確運作。

實作過程與結果

首先，使用ADB進行手機的邏輯擷取。負責邏輯擷取手機資料的筆記型電腦須先下載並解壓縮SDK Platform-Tools for Windows，並於解壓縮完成後的資料夾中，按住鍵盤〔Shift〕鍵再按下滑鼠右鍵，然後點選快速選單中的【在此處開啟命令視窗】。