2012年8月24日 星期五

分析通聯紀錄與定位資訊 掌握手機持有人全部行蹤


分析通聯紀錄與定位資訊 掌握手機持有人全部行蹤

本文將先概略說明手機鑑識證據的來源和萃取方式,再介紹經由鑑識工具和資料分析工具的結合應用,對手機的數位證據進行鑑識,找出有助於鑑識人員的資訊,讓證據自己說話,發揮其協助執法與鑑識單位的最大效益。

在手機鑑識的作業中,資料的萃取部分已有多個工具軟體可供使用,在多個工具的交互運用下,萃取所需的證據並不是問題,目前所面臨的困難,反倒是如何妥善運用這些數位證據,搭配各種驗證、整理方法,使其發揮最大效能。

智慧型手機結合傳統手機功能和PDA功能,無論是商務性或娛樂性,這類型手持裝置均可滿足電子性、機動性、便利性、可攜性的需求,而各家廠商戮力開發相關應用程式、作業系統及操作介面,衍生出平板電腦潮流。

智慧型手持裝置將漸趨普遍,就如同小型電腦,其帶來了便利性及方便性,但相對地,許多犯罪者也可能依賴智慧型手機的功能,存放與犯罪有關的資料或聯絡訊息,因此儲存資料的內容及行動網路的連接狀態,將成數位鑑識的重點工作。

手機鑑識與傳統電腦鑑識最大的不同,在於手機鑑識最終的本質是「互動」,而電腦鑑識則較缺乏衍生證據的分析、整合,例如由通聯紀錄當中比對出收發話的狀況,了解手機持有人社交狀況。

手機鑑識 

關於手機鑑識,以下從手機鑑識和資料萃取兩方面來加以說明。

鑑識方法說明 

因為鑑識目的的不同,在進行鑑識工作時也就會運用不同的鑑識方法,假設僅僅只是進行手機通訊狀況的檢視,那麼只要運用人工檢驗即可。

若是手機硬體可能潛藏著有鑑識價值、已遭刪除的證據,則必須運用記憶體檢視來進行鑑識,依照對智慧型手機內部觸及程度,由淺至深,大略可以分為以下三種鑑識方式:

1. 人工檢驗(Manual Examination)

此方法雖易於使用,但證明力卻是最薄弱,因為以人工(例如對手機進行拍照或是錄影)的方式從裝置上顯示的資訊抓取資料,易於出現人為的疏失,如主觀蒐證或不小心存取資料,影響證據力。

雖然人工檢驗的證據蒐集方式最為簡單直觀,也最為清晰明瞭,但其證據蒐集的範疇僅限於手機表面的操作內容,無法觸及較深層的資料,而蒐集的資訊也較難以分析和評斷。

2. 連結服務(Connectivity Services) 

此為透過命令/回應的協定,將行動裝置連接電腦,以類似同步的方式進行手機資料萃取的鑑識方法。透過此方法分析萃取出的資料,有兩種應用方式,其中一種是利用手機製造商隨機附贈的軟體(如HTC Sync),但它有可能會改變手機內部檔案的原始狀態。

另一種應用方式是使用專門為手機鑑識開發的軟體如XRY、OPM,這些專業軟體較無上述方法修改到檔案的風險,因為其操作過程中會減少修改原裝置檔案的存取動作,保護檔案的完整性。

本文實例棌用後者方法對行動裝置的數位跡證萃取分析。採用此方法好處是,證據資料易於使用、證據內容多元化、便於操作等。

3. 連結代理程式(Connection Agent)

這個方法是將連結代理程式安裝至手機裝置,建立起裝置和工具軟體之間連結和交換資料的管道。Connection Agent方法和Connectivity Services不同的地方,在於不使用既有的協定,較為客製化。其優點是能夠獲得更多的資料,缺點則為目標裝置內會多出一段程式,因而會破壞原裝置的完整性。

手機鑑識方式的選擇,會因所需標的或是鑑識目的的考量,而有所不同的鑑識方法,若需要全面性地掌握手機內的數位跡證,則必須採取更具侵入性的鑑識方法,而其花費的成本、所需的時間及要求的技術程度也會愈高。

因此,在進行鑑識工作前,必須先對鑑識工作的任務和目標有所認識,選擇最合適的鑑識方法,才能最有效率地進行鑑識工作。而上述所列的的鑑識方法則可構成手機鑑識的層級系統,如圖1所示。


▲圖1 各項行動裝置鑑識方式建構出鑑識層級。


資料萃取介紹

有研究指出,在手持式行動裝置上進行數位鑑識取證,依所採集的檔案資料形式可區分為實體萃取(Physical Acquisition)和邏輯萃取(Logical Acquisition)兩種不同的資料萃取方式,詳細說明如下:

實體萃取

資料是散見於裝置上各處不同的儲存位置,包括儲存於該硬體的儲存設備、元件及各類電子媒體。而在進行實體萃取時,必須使用該媒體或該硬體儲存資料的存取方法,反向將資料萃取出來,亦即不能使用智慧型手機作業系統的命令提示字元來溝通或交換資料。

在進行實體萃取時,通常會寫入一個特殊的程式到手機的記憶體中,藉此取得記憶體的完整映射(Full Dump)。一般來說,若是在鑑識的過程當中發現資料刻意遭抹除,則可以嘗試利用實體萃取的方式還原資料。

邏輯萃取

邏輯萃取的資料,是從某些原始資訊來源中萃取出來(包含日誌檔Log File及資料庫Database等),這些資料的內容較為完整有邏輯,可經由鑑識軟體與作業系統通訊協定交換之後取得,其大部分的資料都能夠完整地被分段(parsed),並且以可閱讀的方式來表示。

儘管實體萃取較能夠有效地還原大部分資料,但是利用實體萃取工具(如EnCase)還原的資料,有些只是破碎的片段,並沒有辦法解讀,這時若能使用邏輯萃取解讀有規律的資料庫資料,對於協助犯罪偵查則較有效用。關於實體萃取和邏輯萃取的優缺點分析整理,如表1所示。

表1 實體萃取與邏輯萃取的優缺點分析


在本文的案例中,因著重於數位證據的分析,所以採用邏輯萃取方式對行動裝置進行鑑識。從鑑識的資料中,經由重整、對照及視覺化,呈現出方便鑑識人員判讀有用資訊的結果。

案例情境分析

手機鑑識程序中所萃取出的證據,可能面臨證據不完整的問題,例如已遭刪除的簡訊、電子郵件等片斷不全的通訊內容,造成鑑識人員無法有效地進行鑑識,而影響資料的完整性。

所以,若要為有效且完備的鑑識方式,應是將手機鑑識所萃取出的使用記錄、移動區域等數位資料,搭配交叉驗證和關聯分析的方式,讓手機鑑識能夠更完整地整合於違法事件調查的應用中,方能改善數位證據完整性的問題,達到有效鑑識及獲取完整資料作用的目的。

在本情境之中,楊姓線民擔任非法集團車手以進行證據和集團組織、背景的資料蒐集。為了避免洩漏其線民的身分,楊姓線民並未抄寫任何的相關資料和文件於紙本上,在集團內擔任車手的期間,也沒有和相關執法單位進行書信上的往來,鑑識人員僅對其持有的智慧型手機進行鑑識,即可讓證據說話。

鑑識環境說明 

本案例進行手機鑑識的標的,為楊姓線民持有的智慧型手機HTC Desire。透過手機鑑識操作過程,說明如何整合數位證據,並且利用關聯分析和交叉驗證,建構出鑑識工作的全貌。

在操作的建構上,該支手機只搭配一個使用中華電信的門號收發話以及接收簡訊,除此之外,曾以3G和Wi-Fi無線網路連接收取電子郵件及上網瀏覽過,如表2所示。

表2 案例環境與使用工具


鑑識工具說明 

在本案例中將採用Micro Systemation XRY和i2 Analyst’s Notebook兩種鑑識工具,分別說明如下:

Micro Systemation XRY 

XRY是Micro Systemation(http://www.msab.com/)研發的數位鑑識工具軟體,主要用途為從手機(智慧型手機)、導航裝置、平板電腦等手持式裝置中還原資料並且進行分析。

XRY提供各種硬體連接裝置,鑑識人員將欲鑑識的裝置與電腦作為連接後,再透過鑑識軟體,萃取手持式裝置中的資料。

XRY設計用途是為協助鑑識人員利用各種鑑識手法回復資料,其應用極為廣泛,如犯罪偵查、情報操作、資料探詢。除此之外,也適用於法庭、軍事用途和情報單位,在本操作中,將運用其邏輯萃取功能對智慧型手機進行資料萃取。

i2 Analyst’s Notebook 

i2 Analyst’s Notebook(http://www.i2group.com/)提供完整且豐富的協作分析功能和視覺化呈現的技術,可幫助分析者快速地將極為大量且無章法的資料,轉變為具有高度價值、可自行操作設定的情報,一般廣泛運用於犯罪和恐怖主義的預防。在本實驗中,將運用其分析功能,對萃取出的聯絡人和通聯紀錄進行視覺化分析。

分析鑑識內容 

本例的鑑識內容將以聯絡人為主軸之分析、以通聯紀錄為主軸之分析,以及通聯紀錄、聯絡人和移動區域之整合分析三方面來進行探討。

以聯絡人為主軸之分析

首先對楊姓線民手機以XRY進行鑑識,萃取相關數位跡證。為有效蒐集關鍵資料,鑑識人員必須將初步判斷、篩選萃取出的資料,經此一步驟後,可有效獲取有價值性的數位跡證,有利於鑑識工作,如表3所示。

表3 手機鑑識之數位證據以及其鑑識效用

針對上述的數位證據,鑑識人員運用XRY鑑識軟體,將通聯紀錄、簡訊往來和聯絡人彙整成列表,此一做法可方便釐清楊姓線民與聯絡人間的往來狀況,讓雙方互動的時間和資訊能夠一目了然(圖2)。 

▲圖2 XRY可將手機的通聯鑑識紀錄條列式顯示。

但是,條列式的資料沒有那麼直觀,讓鑑識人員分析資料間的關聯。因此運用i2資料分析軟體,將鑑識記錄中的通聯紀錄往來匯入分析,使其視覺化呈現。 

首先,以通話頻率為脈絡進行分析。將楊姓線民的手機以XRY進行鑑識,並且利用i2進行通聯分析,得到如圖3所示的雀屏圖。 

▲圖3 條列式的通聯紀錄經鑑識後再以i2分析軟體進行視覺化呈現。

經由雀屏圖,鑑識人員可以簡單明瞭地檢視楊姓線民與每位聯絡人之間的聯絡頻率和狀況,如圖4所示。 

▲ 圖4 運用i2軟體進行分析,楊姓線民與各聯絡人之間的通話頻率、次數一覽無遺,便於分析。

為更進一步得到更詳盡的社群網路分析,可再逐次加入分析另一支手機的通聯紀錄,觀察其有無通聯紀錄交集之處。 

如圖4雀屏圖中所示,在楊姓線民分析所顯示的門號中,再加入另一重要關係人的門號,同樣進行通聯紀錄鑑識和分析。 

再與楊姓線民的門號一同呈現後,發現有不少交集的聯絡人,如圖5所示。由此,鑑識人員可以推斷,交集的聯絡人代表可能存在共同的社交圈。 

▲圖5 將兩門號進行通聯分析後呈現。

藉由繼續加入多位關係人手機的通聯紀錄分析並進行雀屏圖分析後,可檢視出不同手機之間的聯絡人通聯情形,相當地一目了然。 

在圖6中,再加入三支手機進行通聯分析,在此一過程當中,i2便會漸漸顯示出手機使用者的社群網路雛形。 

▲圖6 經由多項門號分析,建構出社交圈雛形。

如圖6所呈現的環狀交集,即可能是手機持有人具有共同社交圈,或者是唯一使用者持有多支手機門號。憑藉這個分析方式即可以幫助鑑識人員建構出更為完整的鑑識內容,找出數位跡證所隱藏的關聯性。 

例如,在i2雀屏圖中觀察楊姓線民與關係人間共同擁有交集的對象,判斷此社交圈的核心,也能幫助鑑識人員判斷其他可能也是車手的嫌犯、毒品上游供應者。 

以通聯紀錄為主軸之分析 

除了分析通話頻率外,鑑識人員可再以時間軸為觀察脈絡。藉由XRY將通訊資料檔匯入i2中進行分析,如圖7所示。 

▲圖7 以時間為脈絡檢視手機楊姓線民的通聯情形。

鑑識人員透過檢視楊姓線民近期的通話紀錄,除了可以確切掌握通話事件的發生時間外,也能由固定的通話時間、頻率的整理與檢視分析,找出特殊規則,如圖7所示。 

由表4可以得知,在進行通聯事件分析時,除了必須注意高通話頻率、高通話時間的門號外,還須將一些特殊的徵兆一併列入考慮,因為在這些特殊的規則中可能隱藏著其他含意,如此才不會遺漏重要跡象與證據。 

表4 手機通聯時間脈絡之分析重點及分析內涵 

通聯紀錄、聯絡人及移動區域之整合分析 在通聯紀錄分析後,接著加入移動區域進行下一步的分析。智慧型手機通常利用Google Map的圖資以提供定位、地圖景點查詢等功能(圖8)。 

▲圖8 手機內利用地圖程式進行定位。

在XRY鑑識作業中,能夠將手機曾經進行過GPS定位的紀錄如時間、經緯度等圖資訊息萃取出來(圖9)。 

▲圖9 XRY萃取出包含手機定位時間、定位地點的資料清單。

藉由XRY將其資訊匯出為.kmz檔後,再匯入至Google Earth,可於地圖上標示出進行定位的地點,便於進行行動軌跡分析。 

如圖10所示,可根據所標記的時間與地點,推斷出楊姓線民近期是由南向北、於東北部一帶行動、收款。 

▲圖10 將手機定位時間及地點匯入Google Earth,並標示於地圖上。

傳統對於手機關聯分析及移動區域分析的方式,均須仰賴電信公司提供的通聯紀錄資料,造成各種欄位資料運用方式有限,使其移動區域紀錄也限定於收發話的時候。 

若能配合行動裝置鑑識的結果,除了可就兩方資料進行交叉驗證外,行動裝置GPS定位的資料也可與基地台的紀錄互相補足。 

而行動裝置內儲存的聯絡人資料,也可以協作社交圈建構的推斷,或是應用於鑑識人員進行違法事件調查,如下頁圖11所示。 

▲圖11 傳統與行動鑑識的證據可供交叉驗證、互補分析。

在對鑑識標的行動裝置進行通聯分析和移動區域分析後,統整此兩項資訊,除了對楊姓線民的來往對象及通話態樣有所了解外,另配合移動區域,可分別以通話頻率、聯絡對象、所在地點,藉此整合兩項數位證據資料的分析結果,尋找其關聯性和特殊態樣,以利執法人員分析資訊,追緝嫌犯,如表5所示。 

表5 將通聯紀錄與定位鑑識結果配合,製表找尋關聯性 

根據以上的鑑識模式,在本情境中,楊姓線民蒐集或得知的任何資料,不需要親自整理,或者是特地以紙本的方式記錄傳送給相關執法單位。只要自然地利用手機在通訊聯絡過程中所留下的紀錄,在最後一併交由鑑識人員進行鑑識,包括通聯關係和移動區域的脈絡就可以清楚地被整理出來。

鑑識人員可從以通話次數為脈絡的分析當中,鎖定來往密切的關係人,再由以時間為脈絡的通聯分析當中,比對聯絡人通話的特殊習慣或規則,找出非法集團上游的指揮人、其他聯絡人,並且證明其互動狀況。 

此外,在GPS地圖定位的功能協助下,楊姓線民的活動範圍可輕鬆地在軟體上顯示,這些證據就足以證明販毒集團在某段時間內的活動區域和移動路徑,使其在落網後百口莫辯。 

如此一來,楊姓線民不但不必擔心身分曝光,手機的數位證據搭配視覺化的方式表現,鑑識人員在證據的整理、分析上,也不用費心於解讀其深層意義,藉由將生硬的資料轉換為容易理解的圖表、連線,自然就說明了一切事實。換言之,證據說話了。 

結語 

本文著重對通聯紀錄的來往關係進行關聯分析、移動區域分析,試著以此種方式解決目前行動鑑識上遭遇的新難題。 

智慧型手機的出現,使得行動鑑識的發展逐漸受到重視,其便利性和多功能的整合特性,讓人們對它的依賴性與日俱增,使其可能擁有比個人電腦更多值得鑑識的資料,而在電腦鑑識上的經驗,使得在進行手機鑑識時,會先著重於手機資料的萃取和保存。 

但除了研究鑑識工具和證據萃取方式外,也不能忽略其以「互動」為主的本質,利用智慧型手機鑑識出的數位證據,能夠有效地分析出持有人之人、事、時、地、物狀態,讓證據自己說話,達成其協助執法和鑑識單位作用的最大效益。

轉載自《網管人》

沒有留言:

張貼留言