中央警察大学资讯密码暨建构实验室(ICCL)
以强化的计算能力丶大储存容量及其吸引人的触碰式介面为卖点的iPhone智慧型手机成功地打入手机市场,在高市占率的背景下,产生许多相关的应用程式。
事实上,智慧型手机与传统手机最大的差异与优势在於,前者可以透过安装各种丰富的应用程式,使得手机功能具变化性与全面性,甚至可以得出「使用者是为了应用程式而使用智慧型手机」的结论。
iPhone手机玩家喜欢安装数量众多的应用程式,享受应用程式所带来的便利性以及多变性。然而,应用程式也记录了使用者的各种个人资料丶手机使用讯息和地理资讯,使用者使用愈多应用程式,鉴识者能得到对於使用者的描绘就愈完整。
因此,若使用iPhone作为犯罪的媒介工具,这些应用程式就隐藏了不法情事的各类资讯,如通话纪录丶简讯(Simple Message System,SMS)丶声音和多媒体讯息等等,鉴识人员可以藉由适当的鉴识工具萃取这些资讯,得到重要的证据。
国际研究暨顾问机构Gartner最新统计数据也指出,2011上半季手机销售量达到4亿2780万支,较去年同期成长19%,这些数量增加的资料显示了手机在现代社会中的不可或缺性,对人类生活带来相当大的影响。
苹果(Apple)本季在全球售出1,688万支手机,iPhone目前已在90个国家上架,这款手机一直以其强化计算能力丶大储存容量以及其吸引人的触碰介面为卖点,每代机种新推出的时候都会造成话题,最新的iPhone 4S首日线上预购量更突破100万支,打破苹果所有产品的销售纪录。
iPhone内储存联络人通讯录丶备忘录丶简讯丶通话纪录丶图片丶电子邮件丶GPS定位资讯以及网页浏览纪录等资料,当这些敏感性高的资料成为辅助犯罪者执行犯罪之工具时,手机本身即成为关键的数位证据。
手机的普遍性和便利性不断提高,且高科技资讯和知识也非常普及,故可推想,未来应用手机进行犯罪的智慧型罪犯数量会逐渐增加。因此,本文介绍iPhone手机基本架构丶萃取资料方法和应用程式鉴识技术,将得到的资料和其他迹证交叉比对,以获得更完整的行动证据,达到有效的支援执法与诉讼。
相关背景介绍
首先,介绍与iPhone相关的背景资料,以下将从利用iTunes进行iPhone手机的鉴识丶手机内建应用程式之实体萃取资讯以及App Store与非官方应用程式等三个面向来加以说明。
利用iTunes进行iPhone手机的鉴识
Apple iTunes是针对Apple公司系列产品所设计的个人电脑端应用软体,是该公司产品与个人电脑连接的管理平台,除了本身可充当影音播放器外,同时还具备同步丶备份丶烧录丶共享与浏览App Store的功能。
使用iTunes同步手机,可以将下载的资料经iTunes直接转存到手机;使用者也可以利用iTunes备份手机上的资料如音乐丶影片丶相片丶应用程式丶电子邮件帐户及书签等传送至个人电脑上。备份下来的资料会存放在电脑端Apple相关的资料夹,鉴识人员可针对此备份资料进行鉴识。
安装iTunes程式时,为了让电脑与iPhone的现行内容能够保持一致,预设值为设定成每当iPhone与电脑连接时,开启iTunes後即自动进行同步备份,因此当手机损毁无法使用一般商业手机鉴识软体进行鉴识时,可以从电脑端iTunes备份的档案着手。
备份档案储存路径
透过iTunes备份下来的档案,会因电脑作业系统不同而存放於不同的路径下,相关路径汇整於表1中。
辨识备份档案格式
在开启「Backup」,也就是备份资料所在的资料夹时,可以发现里面有上百个长度为40字元丶由十六进位的数字与字元(09与af)所组合而成的档案名称。这些40个字元的组合是由iTunes在执行备份进行杂凑函数(Hash Function)加密时所赋予的特殊编码,因此并不会显示档案的副档名。
为了辨识备份档案的格式,可以使用十六位元编辑器(Hex Viewer或Hex Editor)或是Notepad++安装Hex-Editor外挂组件来开启备份档案,藉此观察档案内容的开头前几个字元所组成的字串特徵,以辨识这些档案的原始档案格式。
开启备份档案
辨识出备份档案原始的档案格式後,必须选择相对应的萃取工具才能开启档案。在plist档的部分,可以使用免费软体「plist Editor」来开启plist相关档案。另针对SQLite资料库,可选用「SQLite Browser」免安装也免付费的应用程式,它可用来解析SQLite资料库的资料结构。
手机内建应用程式之实体萃取资讯
商业性手机鉴识工具如XRY等,部分功能着重在萃取手机内建应用程式的档案,如多媒体类的音乐丶电影和图片等多媒体档,这些多媒体档在iPhone与iTunes同步後会储存在手机上的「/iTunes_Control」目录内。
无论使用者如何更改手机选项,这个静态目录都是固定的,这使得手机鉴识软体可以从中分析出含逻辑架构的实体萃取资讯。关於手机内建应用程式之实体萃取资讯,共有以下几种:
照片
由於市面上典型的数位相机产生的影像档会以国际普及的资料储存型态EXIF(Exchangeable image file format)方式储存,为了方便读取和显示手机与相机两处的照片影像档,iPhone内建的相机与一般数位相机相同,皆使用EXIF影像档。
这些照片资料会存放在「/Media/100APPLE」目录内,并且附注该影像拍摄的时间和地点,方便使用者查询。
Wi-Fi资料
Wi-Fi是一个建立於IEEE 802.11标准之上的无线区域网路(WLAN)设备,让使用者可以利用手机无线上网。iPhone储存的Wi-Fi相关资料会自动标出无线上网的日期丶时间和地点,能够用来找出使用Wi-Fi上网的纪录。Wi-Fi的浏览纪录会存在一个plist的档案夹(Library/Preferences/SystemConfiguration....../com.apple/wifi.plist)内。
苹果行动装置只要连上网,就会将纪录存进「WiFi networks」资料夹里,使用者可以凭此资料夹找出曾经连结过的网站网址。而此功能让使用者能够快速连结。
Google Maps资料
Google Maps是Google公司向全球提供的电子地图服务,包括局部详细的卫星照片。iPhone上的Google Maps应用程式可以储存地点资讯丶最近的地图搜寻丶驾驶过的地域和接触过的地址。
鉴识人员藉由此资料可以从最近的地理位置查询来调查使用者曾去过或意图前往的地点。
装置目录
iPhone手机除了开关机键丶音量控制键丶响铃/静音键和退出键外,完全没有其他实体按键设计,因此非常依赖虚拟键盘进行大部分文字和符号的输入。「/Library/Keyboard/en_US-dynamic-text.dat」档案内,含有所有经由iPhone虚拟键盘输入过的文字。
检查该档案可以得知使用者输入过哪些资料,且即使文字讯息输入後遭到删除,在此目录之中仍会留下纪录。
时钟资料
Apple行动装置备份档案中的时间资讯,使用三种时间标准格式。第一种是Unix epoch time,这种格式被广泛应用在Linux/Unix上。第二种是苹果产品使用的Absolute Time,透过从2001年1月1日至今日时间的秒数来表达。
最後一种是标准UTC(Coordinated Universal Time)日期,也就是国际标准时间,以英国格林威治天文台为准订出全球时区。UTC时间戳记格式是最典型的非官方应用程式使用之时间戳记。
其他内建应用程式
除了上述的内建程式外,iPhone也内建其他可以储存使用者活动的应用程式,例如Apple使用的浏览器Safari能够储存浏览历史纪录。
网站浏览纪录丶书签和HTML 5资料库都可以经由查询「/Library」目录得知,而记事本(Notes)应用程式除了用来开启此目录外,也包含储存该记事本的时间。
App Store与非官方应用程式
iPhone手机的程式安装来源,可分为App Store及非官方应用程式两种,以下分别介绍。
App Store
App Store是苹果公司为其iPhone丶iPod touch及iPad等苹果产品用户所架设的服务网站,内含容量庞大且多元的资料库,允许用户透过iTunes上的Store选项浏览和下载一些为iPhone软体开发组件(Software Development Kit,SDK)所开发的应用程式。
App Store含有付费软体及免费软体,供用户选择应用程式直接下载到iPhone或iPod touch。其中包含游戏丶日历丶翻译程式丶图库及许多实用的软体。
非官方应用程式
所谓的非官方应用程式(Third Party Applications)是指非作业系统提供者的个人或公司所设计的作业系统程式。iPhone手机的应用程式即是非苹果官方释出,由外界人士依据苹果专用作业系统iOS所设计制作的应用程式,并经由苹果公司授权的App Store发行。
非官方应用程式种类丰富,涵盖许多领域,也提供许许多多具便利性的服务,是iPhone玩家最重视的部分。应用程式种类大致可汇整成表2。
非官方应用程式鉴识
非官方应用程式鉴识可从iTunes和iPhone手机连结之前置作业以及备份档案之分析两方面来加以说明。
iTunes和iPhone手机连结之前置作业
非官方应用程式储存在iPhone使用者档案分区(第二分区)母目录「/private/var/mobile/Applications/」下,透过iTunes直接在手机上下载,或使用电脑下载後同步到iPhone上。
开始鉴识後,首先用传输线将iPhone和电脑连线。当iTunes与iPhone连接时,画面上会显示iPhone的设备摘要资讯,如设备名称丶容量丶版本及序号等等。本文测试手机机型为iPhone 4 MC603TA,版本4.3.5(8L1),而iTunes版本为10.5.0.142。
备份档案之分析
备份後的档案会依照前述备份路径储存在电脑上。本文使用的鉴识电脑端作业系统为Windows XP,从「\Documents and Settings\Administrator\Application Data\Apple Computer\MobileSync\Backup」的路径可以找到「Backup」资料夹,如图1所示。
「Backup」资料夹打开後,得到上百个40位元的十六进位档案,如图2所示。
这些档案经由iTunes在执行备份进行杂凑函数(Hash Function)加密时赋予特殊编码,每一个都代表原始手机上程式的资料备份档,对於原厂新开机之手机约80几个到100多个不等的十六进位档数目,其中数目会因手机机型而不同。
由於这些十六进位档案都不显示副档名,且皆是由抽象的数字和英文字母(09丶az)组成,难以得知哪个档案是代表非官方应用程式之十六进位档,所以须要进行档案辨识作业。
先将所有的十六进位档以Notepad++的Hex-Editor打开,检视档案内容开头的副档名字串特徵和文中的关键字。例如,若要寻找Facebook的非官方应用程式,则寻找内容中出现「Facebook」或「FB」字眼者。如图3所示,可发现内含有FBMessaging丶FBLastLoginEmail等关键字。
确认关键字後,将档案依其副档名使用相对应的工具(.plist档使用plist browser开启,SQLite档使用SQLite browser开启)开启,开启後是XML语法构成的资料,可以对此内容进行鉴识,辨识出Name丶Date或是明显的中文字等等,找出显示时间丶人名丶帐号或地点的讯息,如图4所示。
案例分析
张员有不良前科,经常流连网咖,并在网路上进行不法交易。深夜,执法人员进行网咖临检勤务,张员心生恐惧,企图逃走,并将手机摔损,避免遭到证据的存留搜证。
在盘查下,张员坦承吸毒,并陪同回住处,扣查电脑,扩大追查相关毒物交易人员。鉴识人员从iTunes备份档案目录找到档案,并立刻进行映像档备份,期望从该备份中找出蛛丝马迹。备份完成以後,鉴识人员迅速地筛选出手机备份档中重要的部分,也注意到张员在他的iPhone上安装了一些非官方应用程式,包括Facebook(社群网路平台)丶Window Live Messenger(沟通工具)丶hiPage搜go!(台湾地理资讯搜寻工具)及FourSquare(地理定位游戏)等等。
鉴识人员针对这些非官方应用程式进行鉴识,并从中找出一些资讯。首先,必须了解安装在张员iPhone上的非官方应用程式相关背景,了解其资讯执行过程,如资讯储存格式丶路径等,再透过鉴识软体萃取关键数位证据,拼构出犯罪。
应用程式介绍
以下针对此案例张员所使用应用软体相关功能略作介绍:
Facebook
在通讯功能方面,App Store提供Facebook社群网路应用程式,供用户使用手机连线上网至Facebook,浏览讯息丶更新动态消息或是与人进行线上立即传讯。
至於地理定位资讯标示功能部分,Facebook有一个社交功能名为「打卡」,指在Facebook上发布自己和他人当前时间点所在的位置,可以地名或地标表示,打卡资讯可以显示出当事人所在位置。
MSN
MSN是常用的社交工具,使用者透过远端连线,可进行线上聊天或离线讯息留言。另也提供讯息储存选择,依帐号方式分类储存。
hiPage搜go!
此应用程式提供适地非法的x服务,针对台湾地区,以使用者所在地为圆心搜寻附近各种公司行号丶招牌名称丶景点丶休闲娱乐丶食衣住行等资讯,还具备所在地和标的物的距离估计及GPS导航。
FourSquare
FourSquare是具有地理资讯的游憩性质程式,可以标记使用者所在地点,并可发布到Facebook等社群网路上(称为check-in),或者查询所在地附近是不是也有注册FourSquare的好友存在。
iPhone备份档案鉴识工作
了解相关应用程式功能与执行程序後,依用途决定鉴识方向,合理地萃取数位证据,让证据有效地被鉴识丶保有证据力及证据能力,相关鉴识方法如下:
分析Facebook
透过Facebook社交功能,可以分析张员交友关系,筛选出可疑人士。在Facebook档案「384eb9e62ba50d7f3a21d9224123db62879ef423」内储存了张员的好友列表。
经由鉴识程序,分析档案内容,发现资料中有张员的使用时间丶帐号名称和好友列表等讯息。虽然只列出姓氏或名字中其中一字,此部分却可以当作锁定特定人物的参考,如图5所示。
为了搜集及进一步确认与张员交友近日较为密切的关系人,可以利用Facebook「打卡」功能。从档案「384eb9e62ba50d7f3a21d9224123db62879ef423」内,鉴识人员发现了一个重要线索,打卡纪录中有一个名为John Lee的人使用Facebook的打卡功能,它在晚上8点45分将张员标记在某家火锅店,如图6所示。
虽然无法据此得知总持续时间,但这说明了至少在8点45分这个时间点,张员位於这间火锅店内。一般而言,通常是认识一段时间丶关系较密切者才会使用这项功能标记对方,应锁定John Lee进行後续调查。
分析MSN
与Facebook功能类似的MSN,也有好友群组丶讯息传递,与上述鉴识程序相同,MSN备份讯息档案「aef5af219033bc6311cf7f9fbaeb1a4523011c75」中储存了张员与可疑帐号对话内容及时间,由此可知7点20分张员使用手机上的MSN应用程式邀请对方(可疑帐号)到某火锅店用餐并讨论交易地点,如图7所示。
对话虽只有一行对话文字,但推测张员可能是留言後就关闭MSN。MSN工具在对方未上线情况下仍能提供留言,会以离线讯息呈现,当对方登入後会立刻收到。
从张员的MSN对话讯息中推论,与对方应是熟识,非第一次联络,并且将在名为水龙头火锅店见面。有了地理资讯线索後,鉴识方向便往有「适地服务功能」的hiPage搜go!及FourSquare应用程式备份档案着手。
分析hiPage搜go!和FourSquare
经鉴识人员检查相关档案後,在hiPage搜go!的备份档案「cd93e0006a0b5afd6e3fcd8476495eb26b03d528」内,发现张员利用此应用程式搜寻了一些当地的火锅店,如图8所示。而从FourSquare备份纪录档案「a690d7769cce8904ca2b67320b107c8fe5f79412」中则发现一笔标记的check-in纪录,如图9所示。
判断分析结果
从各相关应用程式鉴识分析,可以初步掌握前日张员的动向。
鉴识人员据此鉴识结果,推论张员前日晚间去过表上的地点,且可能於好乐迪KTV进行过交易,也据此锁定John Lee这名可能的购毒者。
结语
苹果行动平台的非官方应用程式提供了相当数量的鉴识资讯,这些档案往往包含授权凭证丶时间戳记和地理资讯,可作为鉴识证据采用。这些档案透过iTunes同步丶备份後转移到其他平台上,经过适当的检验方法获得,因此可说是提供现代手机鉴识技术新的发展方向。
实务上,此技术可应用於当嫌犯为规避责任而将手机破坏,导致无法使用一般商用手机鉴识软体进行鉴识的状况。鉴识者可以转从嫌犯的个人电脑端使用本文介绍的方式萃取iTunes自动备份的档案,锁定重要资料。
此外,本文也透过实作,描述了如何萃取非官方应用程式的档案,使执法人员能在案件里获得有效的数位证据,并透过实际案例具体说明从非官方应用程式能够得到的资讯和鉴识上的证据,让鉴识人员成功快速地找到重要的相关线索。
阅读(2061) | 评论(0) | 转发(0) |