2012年7月27日 星期五

行動智慧趨勢正夯 XRY手機鑑識為安全把關


行動智慧趨勢正夯 XRY手機鑑識為安全把關

本文將探討現今熱門的手機鑑識議題,透過實際操作的範例,說明現今手機鑑識軟體如何取得手機上的數位資料,並探討哪些資訊對於鑑識人員是可利用的數位證據,進而論證、釐清真相及犯罪事實。

由於資通訊科技的快速發展,手機在人類生活中扮演的角色產生重大的改變,從以往僅僅用來進行通訊溝通的工具轉變成用來獲取各種資訊的小型個人電腦,現今,手機已變成人們日常生活中的一環,其普遍性及重要性從表1即可得知。

表1 台灣手機普及率


表1係根據國家資訊通信發展推動小組於2011年7月公布的我國主要ICT(資通訊科技)相關統計資料製成,由表中可知,門號數量已經遠超出目前台灣所有人口數,平均每百人就有約一百二十個門號數,而其中有七成屬於可行動上網(WAP、GPRS、PHS、3G數據、WBA)的門號。

藉由網路與手機科技的緊密結合,現今的手機已不再只是用於通訊需求,許多行動服務不斷的推出,其方便且具高機動性的特質使得使用人數不斷增加,因而儲存於手機上的資料量亦隨之大幅增加。

以往,手機上的記憶空間大多只用於通話紀錄、簡訊(SMS)內容以及電話簿資料之儲存,而現今隨著手機智慧化的趨勢及行動服務的增加,手機裡的資料愈來愈五花八門,包含經緯度定位、電子郵件、應用程式、記事曆及多媒體資料等等,如上頁表2之比較。

表2 手機儲存資料比較


手機提供的便利性及高機動性,使其傳輸服務廣受歡迎且造成熱烈迴響,連帶有許多不懷好意的使用者也利用這些特性進行不當甚至於犯罪之行為。

而為了取得手機內含的證據,手機鑑識之需求即油然而生,用於取證手機資料的許多鑑識軟體也被發展出來,如Micro Systemation XRY、Compelson MOBILedit!等等,此類鑑識軟體的主要功能大多在於備份手機資訊,並且提供操作者觀看、查詢所備份資訊的介面。

本文主要內容即以XRY鑑識軟體為例,進行取證手機資料的實際操作解說,從中找尋有用的數位證據,並且比較其與MOBILedit!之差異。

數位證據與手機鑑識 

手機可以是一般犯罪時使用的通訊工具,或成為特定犯罪使用的工具(如駭客行徑),這些牽涉手機的案件近年來不斷增加。

對調查單位而言,如何取得並且找尋有用的數位證據無疑是一項重要的議題,此項過程即一般所稱的「手機鑑識」,以下對數位證據及手機鑑識做概略性的說明。

數位證據 

數位證據是物理證據的一種,與一般的彈痕、血跡等傳統證據不同,是以電磁紀錄的方式存在於電子或磁性設備中,其可佐證犯罪行為。

具有調查價值的數位資料即為數位證據,包括多媒體影像、數位文字、電子郵件、網路封包、對話紀錄、系統紀錄檔、手機簡訊等等,皆屬數位證據的範疇。

其具有如下的特性:易於複製及修改;不易個化,無DNA之類證據的唯一性特質;不易證實其來源及完整性;無法直接被人類所理解,需透過電腦或相關電子設備才可以呈現;不易蒐集取得,其蒐集或儲存需要具備專業技術及特定工具。

由此可知,數位證據的性質十分特殊,因此數位證據在採證的過程,必須符合正確的資料採證程序,到了法庭上才具足夠的證明力與證據能力提供審判的依據。

手機中儲存的資料,大多以電磁紀錄之方式存在,即這裡所稱的數位證據,其同樣具有上述數位證據的特性。

手機中的證據來源大略可分為SIM(Subscriber Identity Module)卡、手機本體及可卸除式裝置(Removable Devices)等三類,以下分別加以說明。

SIM卡 

SIM卡最主要功能在於其內含唯一的一組認證金鑰Ki,讓使用者能夠向電信業者證明其身分,並取得適當服務的認證功能,它同時也額外提供少量的個人訊息儲存空間,如國際移動用戶識別碼(International Mobile Subscriber Identity,IMSI)、個人識別碼(Personal Identification Number,PIN)、電話簿、SMS簡訊及Location Information(LOCI)。


其中,國際移動用戶識別碼包含移動國家碼(Mobile Country Code)、移動網路碼(Mobile Network Code)以及使用者識別碼(Mobile Subscriber Identification Number),可用於區分國際漫遊、電信業者以及使用者身分。

而個人識別碼是用來保護SIM卡裡儲存的相關資料,此碼可由使用者自行設定,若無法輸入正確PIN碼時,將會無法存取SIM卡內的所有資料。

一般而言,PIN碼的輸入可以有三次的嘗試,超過三次錯誤後就無法再輸入,在此情況下,必須輸入個人解鎖碼(PIN Unblocking Key,PUK)將PIN碼的鎖定狀態解除,但若PUK碼輸入亦超過次數限制(一般為十次),此張SIM卡將會被永久封鎖。

至於LOCI則提供所在地資訊,記錄手機上一次連線時,是哪個基地台提供服務。

手機本體

隨著技術發展,手機上搭載的儲存體容量愈來愈多,現今容量動輒GB以上的手機也不少見,其主要儲存的資訊大約有下列幾種:國際移動設備識別碼(International Mobile Equipment Identity,IMEI)、電話簿、SMS簡訊、多媒體資訊(含照片、影像及聲音)、網頁紀錄、行事曆、便條以及應用程式。

其中,所謂的國際移動設備識別碼(IMEI),在手機上輸入*#06#即可取得,共有15位數字,又被稱為手機的身分證號碼,其包含模組、原產地、製造商編碼及檢查碼,每支手機都具有獨一無二的IMEI碼。

電信業者提供服務的時候,除了根據SIM卡裡的識別碼驗證之外,也會將相對應的IMEI碼記錄以供後續稽核使用,而當使用者手機失竊時,就是利用此碼來找尋是否有人繼續利用此手機使用電信業者的服務。

可卸除式裝置

可卸除式裝置大多是指擴充手機儲存容量的記憶卡(Memory Card),各種手機的可卸除式裝置規格不一,主要由製造商決定其支援的種類,而其中儲存的資訊也會隨著手機類型而有不同的儲存規格與種類。

手機鑑識 

手機鑑識是數位鑑識中的其中一環,泛指所有對於手機上數位資料進行識別、蒐集取證、檢驗、分析的一系列行為。

根據美國國家標準技術局(National Institute of Standards and Technology,NIST)提出的作業程序,可分為圖1所示四個階段:


▲圖1 手機鑑識程序。資料來源:Guidelines on Cell Phone Forensics


1. 保存(Preservation)︰如何於蒐證現場辨識正確的數位設備,並且妥善保存,使其合乎證據保存之規範。
2. 蒐集(Acquisition)︰對手機進行證據的蒐集,在有限時間內找尋有關案情需要的證據。
3. 驗證與分析(Examination and Analysis)︰依據不同案例情境,對蒐集到的數位證據進行假設的驗證或分析。
4. 報告(Reporting)︰輸出蒐集及驗證分析的結果及其鑑識報告。

XRY鑑識軟體實例操作 

XRY鑑識軟體是由瑞典Micro Systemation公司所研發之手機鑑識產品,目前已可支援超過1,400種以上手機型號,而對各種不同型號手機支援程度也有所不同,如圖2所示。


▲圖2 XRY鑑識軟體支援許多手機款式。


XRY鑑識軟體可以利用傳輸線、藍牙或紅外線與手機連結,藉由其直觀、圖形化的介面,輕易地對手機製作備份映像檔,並利用它所提供的Reader介面讀取,找尋有用的資訊,包括通聯紀錄、簡訊、電話簿、電子郵件等。

接著以HTC Desire手機為例,示範XRY鑑識軟體如何針對手機製作備份的映像檔,並且從中尋找可供參考的數位證據。

第一步:蒐集 

在操作介面中點選萃取資料(Extract Data),藉由XRY Wizard的引導,一步步地選擇手機型號、連結方式及萃取方式等,並將備份的資料檔輸出,而後所有鑑識過程大多來自此備份檔,以免有任何更動手機原始資料檔的可能。

第二步:驗證與分析 

利用XRY備份出來的資料檔進行分析,依照選擇的萃取方式及種類不同,可分為下列三種資料:

SIM卡 

來自於SIM卡的資料萃取,包括其IMSI碼、電話簿、網路連接參數等資料。

除了SIM卡的身分證字號IMSI碼外,最常見的電話簿及簡訊內容也很容易取得,而藉由少數較不為人知的資訊如Last Network和Last Area Code(圖3),可以得知此SIM卡是向哪家電信業者要求服務,以及其最後一次連結基地台的編號,由此可以概括判斷出此手機曾經在該基地台的附近出現過。


▲圖3 SIM卡儲存資料。

邏輯萃取資料 

邏輯萃取(Logical Extract)方式是對檔案系統上的所有實體資料進行萃取,亦即將目前存放在手機上的全部檔案萃取出來。


對手機鑑識而言,以邏輯萃取方式而得到的資料,不論對犯罪偵察或是一般手機備份都相當重要,其中包括簡訊、瀏覽紀錄、圖片、電子郵件、電話簿、GPS定位資料等,而這種萃取方式僅是從檔案系統中單純取出資料,其支援手機的機型與程度也遠多於實體萃取方式(圖4∼8)。


▲圖4 各式手機型號支援邏輯萃取之程度不盡相同。


▲圖5 萃取通話紀錄資料。


▲圖6 萃取簡訊資料。


▲圖7 萃取電子郵件資料。


▲圖8 萃取GPS定位資料(視手機是否支援定位功能)。

實體萃取資料 

在一般情況下,將檔案刪除後,檔案實際資料並不會從磁區上消失,而是刪除其指向實際資料的位址索引,並且將該實際資料的空間重新劃分成可用空間。

實體萃取(Physical Extract)方式則是將手機或記憶卡等記憶儲存體上所有位置的資料全部取出。利用這種方式可以掃描到被刪掉的檔案內容,並將擷取到的記憶體內容解碼還原成原始檔案,讓鑑識者取得檔案系統上看不見的證據。

但由於每種手機型號的架構及檔案系統不盡相同,解碼的支援程度也有限,因此有時候也只能取得零碎的記憶體資料而無法還原成檔案,而其支援的機型與程度相較於邏輯萃取方式也少了許多(圖9)。


▲圖9 記憶卡實體萃取的支援程度。

以此次使用的HTC Desire手機為例,萃取後可以取得Block3、4、5的資料檔案(圖10∼12),其中包含系統檔案、快取資料、使用者資料,而Android作業系統的磁碟各區塊所含有的資料如表3所示。 

表3 Android手機不同區塊的資料類別



▲圖10 萃取資料—mtdblock3(系統檔案)。


▲圖11 萃取資料—mtdblock4(快取資料)。


▲圖12 萃取資料—mtdblock5(使用者資料)。

從實體萃取的資料中可以得知該檔案物件的屬性欄位,包括objected(檔案的唯一識別碼)、parent(指向目錄的編號),從Deleted欄位也可以了解該檔案是否已遭刪除,並且得知其實際的檔案大小與所占用的磁碟空間等資料。 

邏輯萃取方式及實體萃取方式兩者之間的比較,如表4所示。

表4 邏輯與實體萃取方式的優缺點

第三步:報告 

最後,可以把採取到的數位證據以及Log紀錄輸出成一份報告(Reporting),然後,利用XRY鑑識軟體所提供的工具(圖13)可以很容易地將收集到的資料轉換成Word、Excel等格式(圖14),也可以將取得之GPS定位資訊輸出為Google Earth使用的kmz格式並使用地圖來搭配分析(圖15)。 

▲圖13 XRY提供的Report工具。

▲圖14 輸出Excel格式報告(各分頁為不同資訊欄位)。

▲圖15 將Locations資料輸出至Google Earth使用。

市面上的手機鑑識軟體大多大同小異,另外一個MOBILedit!軟體(圖16)也提供手機資料的備份與還原、SIM資料的檢視及輸出鑑識報告等功能。 

▲圖16 MOBILedit!操作介面。

除此之外,MOBILedit!還提供使用者PC操作介面,讓使用者可以利用PC端控制行動電話,例如撥打電話、簡訊編輯與傳送、通訊錄工具功能等。 

MOBILedit!甚至也提供與Outlook的同步以及Ringtone editor鈴聲剪輯功能,其著重於手機與電腦間連結(圖17)以及輔助的應用介面,即使手機螢幕損壞,仍能使用MOBILedit!對手機進行操作。 

▲圖17 以電腦端編輯簡訊。

MOBILedit!與XRY最大的不同點,在於其備份資料時可以僅選擇特定或單一資料夾(圖18),但是無法提供實體萃取的解碼功能。兩者的功能詳細比較,可參考表5。 

▲圖18 Backup wizard可選取單一資料夾。

表5 XRY與MOBILedit!比較 

案例說明 

線報指出甲君於從事證券交易時有內線交易之情事,當持搜索票前往執行調查時,遇甲君抵抗、反鎖房門不予回應,並且立即湮滅其犯罪相關之證據,待鑑識人員進入時發現甲君使用之手機與電腦已遭摔毀。 

查扣相關證物後,鑑識人員將其交由鑑識人員進行分析,發現其手機僅螢幕破裂無法顯示,內部儲存記憶體的資料並未損壞,此時即可利用手機鑑識軟體萃取其內容,找出有用的證據。 

首先,鑑識人員藉由上述所提製作手機映像檔的步驟,將手機儲存體中的內容取出,並且從中找出有用之證據。如圖19所示,得到嫌疑犯與其他共犯間所傳遞的簡訊內容,並且將此作為證據以供調查之用。 

▲圖19 取得手機簡訊內容。

得到其他共犯的訊息之後,就可以擴大調查的範圍,並且鎖定該特定人士。藉由萃取手機通聯資料了解嫌疑犯與其他共犯的通訊往來紀錄,並且同步清查甲君名下的金融帳戶,找尋是否有不法利益的金流紀錄。

經調查人員詳細清查後發現,其帳戶並無可疑之轉入轉出款項,但卻有大筆金額的存入與提出,研判其可能為避免留下轉帳證據而採用當面交付利益的方式。 

藉由通聯紀錄的萃取,發現甲君於2011年9月11日時與該周姓共犯有短暫且密集聯絡的紀錄,研判該日甲君可能與周姓人員相約見面(圖20)。 

▲圖20 發現手機通聯紀錄。

為找尋甲君與周員碰面的紀錄,利用萃取到的經緯度定位資料,比對該日兩人密集通聯時間前後所定位的位置,找到121.181, 24.9114及121.175, 24.9117兩筆資料,如圖21所示。 

▲圖21 手機GPS定位資料。

藉由Google Map等其他圖資工具(圖22),調查人員得知甲君於2011年9月11日中午時段曾經出現於桃園縣楊梅市永美路附近,並可能於該處與周員碰面,掌握時間與地點後,鑑識人員得以查訪附近居民,或調閱附近便利商店或餐廳的監視紀錄,進而找出更多證據,並將其繩之以法。 

▲圖22 Google Map地圖工具。

結語 

隨著日新月穎的手機科技發展,現今手機裝載的資料量大幅提升,許多科技如定位系統被應用於手機上,這些存在於手機中的資料很可能成為犯罪調查時不可或缺的關鍵證據,如何取得這些關鍵證據變成現今鑑識人員的一大課題。有鑑於數位證據的特殊性質,在鑑識工具的使用上必須詳加考慮,以免於取證時破壞資料,影響鑑識結果。

轉載自《網管人》


沒有留言:

張貼留言