2013年7月4日 星期四

你微信了嗎? 在iOS鑑識WeChat跡證

解析WeChat使用軌跡 還原社交通訊證據
你微信了嗎? 在iOS鑑識WeChat跡證

本文以iOS作業系統為主的iDevice(如iPhone 5、iPad 2、iPod touch等)作為探討標的,當非法人士以WeChat進行犯罪訊息溝通時,鑑識人員該如何有效地萃取出關鍵的數位跡證,搜尋出WeChat內的對話內容、聯絡人、使用者資訊及影音等紀錄訊息。

目前社交通訊APP大部分都支援PC和智慧型的行動裝置。國外調查機構針對社交通訊的使用者會選用何種設備進行統計,結果顯示使用行動裝置在社交通訊活動上的人數多過PC的使用者。 

在這樣的趨勢下,未來行動裝置的鑑識方法及技術相當重要。近年台灣已有利用通訊軟體進犯罪通訊的案例,非法人士利用了通訊軟體會將訊息進行加密的特點,讓鑑識人員難以追蹤他們的犯罪行為,以達到秘密通訊的目的。

本文要介紹的WeChat社交通訊軟體,除了個人化的通訊功能外,還允許目前社交網路市占率極高的Facebook用戶加入WeChat,省去使用者須額外註冊的麻煩,這樣的方便性使WeChat用戶在短時間內快速地增加,自2010年推出後,目前(2013年)註冊人數已突破3億人次,在通訊軟體的市占排名逐漸往前推升。

另外一項使WeChat快速成長的因素,是系統支援度廣,除了支援iOS的平台外,也支援Andriod、Windows Phone。

但是,這樣便利的通訊工具很容易讓非法人士進行犯罪聯絡溝通,以本文中 iDevice進行WeChat非法活動為例,一旦這樣的活動發生,WeChat的文字訊息、聲音訊息、聯絡人通訊資料等紀錄即是重要的數位跡證。

但是,數位跡證會隨著系統更新或設備的改變,而有不同的鑑識方法,在這樣的情況下,鑑識人員需要找尋方法將行動裝置內的數位跡證萃取出來。而對於iDevice的鑑識則需要經過一道Jailbreak(越獄)程序,取得iDevice的最高權限後,才能使用鑑識工具對iDevice進行數位跡證的萃取。

這是因為iOS屬於封閉性系統,Apple公司為保護系統安全所進行的措施,但為突破iOS的保護措施,越獄的方法卻會有存取資料的疑慮,讓數位證據會失去證據力。

在實際的鑑識過程中,鑑識人員會經常遇到的情況是,非法企圖者為避免行動裝置內的犯罪跡證被鑑識人員知悉,都會對行動裝置採取一定程度上的破壞,讓鑑識人員無法對行動裝置內的數位跡證進行萃取。

為解決此問題,可利用iTunes的鑑識,進行iDevice數位跡證的萃取。iTunes是Apple針對iDevice系列產品所設計的管理平台,在iTunes上使用者可以進行資料的管理、軟體的下載、資料備份等動作。

如圖1所示,當iPod touch連結iTunes時,iTunes便會自動地進行資料備份與同步,將iPod touch內的資料備份到電腦中,這是iTunes預設的動作。

所以,依照iTunes的設定,當非法企圖者將iDevice連接iTunes時,iDevice內的資料,包含WeChat的通訊訊息很有可能會儲存至電腦內。

在這樣的情況下,經由iTunes備份至電腦的備份檔,即可找出分析備份檔內WeChat通訊訊息,鑑識人員可以藉此有效率地萃取出關鍵的數位跡證,還原事件。


▲圖1 iTunes對iPod touch進行資料備份。

針對iDevice的鑑識 

智慧型行動裝置鑑識是一個新出現的鑑識領域,針對行動裝置的標準鑑識步驟尚未有一個明確的定義,因此若要獲取行動裝置內儲存的訊息,相對於電腦,將繁雜許多。

行動裝置上的系統不像電腦系統,它屬於封閉的系統環境,無法任意安裝應用程式或更改設定,而這樣的系統環境增加了鑑識工作的因難度。

某些數位鑑識的廠商針對手機系統開發出鑑識工具,如XRY、Universal Forensic Extraction Device (UFED)等,這些手機鑑識工具,可以在未破壞手機的情況下連接手機,萃取出儲存在手機內的通訊錄、通話紀錄、影音檔案。

此外,還能將鑑識結果匯出成報告,提供給法庭或執法機關。而JTAG(Joint Test Action Group)有別於手機鑑識工具,它雖然也可以對手機製作資料映像檔,但卻可能破壞或存取手機,因而影響數位證據的證據力。

由上述可知,行動裝置的鑑識方法各有優缺點,決定何種方式萃取資料,端看鑑識人員當時的需求而定,而目前針對iDevice的鑑識方法,則有三種不同的鑑識方法,分別說明如下:

1. 邏輯萃取 

邏輯萃取是目前在進行iDevice鑑識時最常採用的鑑識方法,這種方法是依照檔案系統的邏輯儲存架構進行Bit-by-Bit的資料萃取,它萃取的方式有兩種。

第一種是透過Apple iTunes將iDevice的資料同步到電腦,這被認為是目前最容易的方法。iTunes雖然不是鑑識軟體,但可以將手機內資料備份到電腦內,達到邏輯萃取的效果。

第二種則是透過如XRY、Universal Forensic Extraction Device(UFED)等鑑識工具,在選擇設備的連接頭後,鑑識工具可以直接連接iDevice並將資料進行邏輯萃取。

但是,選擇鑑識工具的方法會有支援的問題,因為iOS的版本會不斷地更新,而鑑識工具不能保證在iOS推出新版本後還能否順利地支援,但iTunes則無此問題存在。

2. 實體萃取

實體萃取可以完整地將iDevice內實體的檔案系統狀況以Bit-by-Bit方式萃取出,包含已刪除的資料,而這是邏輯萃取無法辦到的。但是,實體鑑識方法必須對iDevice進行JB(Jailbreak)越獄的程序,以取得最高權限。

Apple為了保護系統的穩定,安裝至iDevice的APP皆須通過Apple授權才能夠安裝下載。但鑑識軟體屬於第三方未授權軟體,所以要將鑑識軟體安裝至iDevice,必須取得最高權限後才能進行,而Jailbreak則是取得iDevice最高權限的方法。

經過Jailbreak後,就可以對iDevice進行實體萃取,並透過Wi-Fi方式將iDevice資料分區內的映像檔(Image)傳送出來,但Wi-Fi有傳輸過慢的問題,後來有相關研究透過Apple Camera USB傳輸映像檔,改善了Wi-Fi傳輸過慢的問題。

實體萃取雖然可以比邏輯萃取獲得更多的細部資訊,但實體萃取中所使用的越獄方法會更動iDevice系統分區的設定,這使得法庭對於經由實體萃取出的數位證據產生了證據力是否完整的懷疑。

3. 拆開設備 

這是具有破壞性的鑑識,從拆開後的iDevice對儲存資料的快閃記憶體進行映像檔製作,之後再對映像檔進行分析。但這個鑑識方法有風險,一旦破壞設備後便無法再復原。

在2010年時,也有研究以邏輯萃取的方式,透過iTunes備份檔分析iPhone 3GS內的紀錄,這些紀錄是以40位元長度的Hash值作為命名,且檔案格式多為plist檔及sqlite資料庫,他們透過SQLite Browser/Plist ediotr開啟iTunes的備份檔,發現了iPhone 3GS中APP的紀錄檔會有固定的檔案名稱,所以只要將這些檔案名稱識別出來,即可了解檔案中的記錄內容。

透過這個方法,就可以分析iPhone內即時通訊的訊息,如AIM、Yahoo! Messenger。面對使用即時訊息犯罪的使用者時,鑑識人員即可對照Hash值的檔案名稱,有效率地搜尋出關鍵的數位跡證。

此外,社交類APP,如Facebook、Twitter、Myspace,也有即時地將資訊分享出去的功能,當以邏輯萃取的方式獲取iPhone手機的備份檔時,從APP(Facebook、Twitter、Myspace)殘留於iPhone手機的訊息可以發現,備份檔的紀錄中會有使用者註冊ID、密碼、通訊的朋友ID、對話內容等,而WeChat則是結合了社群及即時通訊的功能。

以下將說明WeChat在iPad 2和iPod touch的數位跡證,可協助鑑識人員在鑑識WeChat的犯罪時能夠順利萃取出在iDevice內的訊息紀錄。

WeChat在iDevice上的紀錄 

以下將分成WeChat的通訊功能介紹、iDevice中的WeChat跡證兩方面來加以說明。

WeChat的通訊功能介紹

從WeChat通訊軟體的名稱來猜想,很容易聯想到朋友之間無話不談的情境,「We Chat」—我們盡情地聊吧!WeChat為通訊加入新的元素,不同的溝通方式、新穎的交友模式,擺脫以往對通訊軟體固有的框架,不再是單單只有一個對話方塊的對話視窗。

聊天是很自然而然的習慣,它是與別人閒話家常維繫情誼的方式,又或者是生活舒壓的管道,聊天最需要的就是要有談天的對象,而WeChat卻只要將手機搖一搖,就能找到一大堆在地的朋友,這是什麼樣的功能呢?底下就針對WeChat的通訊功能做簡略的介紹:

跨多個平台,系統支援度廣
由Apple推出iPhone手機後,智慧型的行動裝置有如雨後春筍般地被相繼推出,例如Andriod、Windows Phone、BlackBerry等。

在行動裝置蓬勃發展的情況下,經常發生的情況是,使用者擁有的行動裝置版本會有不同的情形,在智慧型手機為Anodriod版本與平板電腦為iOS版本的使用習慣下,就會發生APP無法同時支援兩套版本系統的窘境。

而WeChat面對這個難題,就致力地開發不同版本的APP環境,目前支援的版本包括iOS、Andriod、Windows Phone、Symbian、BlackBerry及網頁版本。

簡單化的註冊,快速登入
以往若要使用通訊軟體,必須先下載軟體安裝再填寫一大堆的註冊資料,如帳號…密碼、姓名、電話、信箱等,才能進行通訊,相當的麻煩。WeChat想到了這一點,把註冊變得簡單,只要輸入手機號碼就可以完成註冊,無須再多輸入資料。

此外,也有其他的註冊方式,例如可以將既有的Facebook、Twitter帳號直接加入WeChat註冊,不必再另外申請帳號。在註冊的簡便性及免費的誘因下,WeChat的註冊人數在很短的時間之內就突破上億的人次。

四海之內皆朋友,加入朋友好便利
Facebook是市占率排行第一的社群網站,在朋友的連結功能上是最被大家所讚賞的。Facebook能根據使用者的生活背景,如學校、交友關係、居住地區等,自動地找尋朋友。

「社群」就是一群人在一起而形成,而WeChat在社群交友的方式,與Facebook的精神很相同,以最有效率的方式找到屬於個人的社群。以下介紹WeChat的「新增朋友」、「附近的人、搖一搖、漂流瓶」兩種交友方式。

第一種是「新增朋友」。WeChat的新增朋友中提供四個選項,有搜尋帳戶、掃描QR Code、手機通訊錄、官方帳戶。普遍加入朋友的方式,就是輸入ID,但WeChat還額外新增一個方式,就是輸入QR Code。

如圖2所示,當成功註冊WeChat時,WeChat就會產生一組屬於個人的QR Code,可以將這一組QR Code透過Facebook分享出去,當有人想把你加入WeChat的朋友時,只要藉由掃描QR Code就可以完成。而手機通訊錄與官方帳戶都是透過ID的方式加入,這讓用戶有更多的方式來選擇所要加入的朋友。


▲圖2 個人的QR Code名片。

第二種為「附近的人、搖一搖、漂流瓶」。很難想像的,我們所在的位置都成為了交友的資訊。當打開手機的定位資訊時,WeChat就會搜尋在一定範圍內的用戶並列出清單。可以針對有興趣的對象提出邀請「加入朋友」的訊息。「搖一搖」則是搖一搖手機,在同時間內只要有人也在搖動手機,WeChat就會將他顯示在你的交友清單上。

搜尋「附近的人」與「搖一搖」的陌生交友方式,雖然方便,但仍須小心提防,畢竟不了解對方的生活背景還需謹慎,才是明哲保身之道。

洩漏個人的資訊或者有不明人士的搭訕,是一般人不想碰觸到的問題,而WeChat也想到了此點,除了要求使用者須填寫個人名片外,WeChat將交友的權利交由用戶自己決定,當有人提出交友邀請時,雙方都需要彼此認證過後才能成為WeChat的朋友。

我們常見在故事或電影中,因船難受困於無人島中的受難者,為了讓外界的人知道他們的位置,而將求救訊息塞入瓶內並丟入大海中,希望在某天裡,有人拾起瓶子看到求救信後,能夠去營救他們,這樣的概念就是WeChat漂流瓶的想法。

如圖3所示,將瓶中信丟入大海中,當瓶中信被拾起時,對方就能回覆訊息,故事與電影中的瓶中信,也能在真實生活中發生。


▲圖3 WeChat的漂流瓶。

活潑的對話方式,溝通無障礙 
可曾見到過執法人員手持無線對講機,劈哩啪啦對著另一頭的人講話,這樣的對話方式也能出現在我們的生活當中。

如圖4所示,WeChat 4.5版推出了「即時對講」功能,對話的人只要按住對講鈕,聲音就會自動地送出。不同於語音訊息,它不需要先把聲音錄製好才能發送。


▲圖4 WeChat的即時對講。

此外,視訊通話也是WeChat非常強調的對話功能,彷彿就像是面對面地在聊天,但如果在網路頻寬不足的地方,視訊通話就會自動切換成語音通話,通話的方式要依環境狀況做選擇,如此才會有好的通話品質。

而分享的訊息中,除了文字、圖案、影音檔外,目前的位置資訊也是訊息之一,這就像Facebook的打卡功能——將位置訊息標示並分享出去,讓朋友知道自己的動態。

iDevice中的WeChat跡證 

當有非法人士利用WeChat進行犯罪時,WeChat的數位跡證就變得非常重要。但數位跡證會隨著軟體的改版、設備的不同而所變異,以下將就iDevice(iPad 2、iPod touch)進行WeChat的數位跡證進行探討,透過iTunes的邏輯萃取方法,將WeChat數位跡證萃取出。

這裡所舉的範例,iOS版本為6.0.1、WeChat版本為4.5,如表1所示。在確認備份檔的路徑後,將使用免付費軟體Plist Editor Pro for Windows(version 2.0.0.1)、SQLite Database Browser(version 2.0 b1)查看iTunes產生的備份檔。

表1 iTunes備份檔案儲存路徑


如圖5所示,這裡也使用了另一個工具iTools幫助查看備份檔資料的工作,其功能讓使用者能夠直覺地管理iDevice,以模擬裝置連結的方式管理備份檔案。接著說明WeChat在iDevice內的數位跡證。


▲圖5 iTools將iPad的備份檔以介面化的形式呈現。

WeChat在iPad 2內的數位跡證 
WeChat在iPad 2內的數位跡證可以分成圖片與音樂、對話紀錄以及使用者資料等三方面來加以探討。

圖片與音樂 

如圖6所示,在WeChat儲存語音訊息和圖檔的路徑下,資料夾名稱是16進位制Hash值,而這一串Hash值其實是WeChat針對每一位與用戶對話的人所產生的識別名稱。


▲圖6 WeChat備份檔中Audio及Img的紀錄情形。

每一個Hash值資料夾下的檔案都是屬於用戶針對不同人的對話過程中傳送的訊息檔案,如語音、圖片等。因此,當鑑識人員在蒐集WeChat的數位跡證時,就可從WeChat的Hash值識別名稱來確認訊息是由誰產生,進而還原對話的歷史過程。

WeChat的檔案格式採用容量較小的格式,這是為了避免增加檔案傳送時的負擔。而WeChat的語音紀錄採用.aud的聲音格式,但目前的影音播放軟體如Media Player、Winamp、KMPlayer都無法成功播放。

在圖片的儲存上,使用iPad 2內建相機拍攝出的相片是以JPG格式作儲存,但WeChat會將原本的JPG圖檔轉為JFIF,JFIF的原名為JPEG File Interchange Format(檔案交換格式),此圖檔格式是被設計於網路傳輸之用,所以觀察iPad 2圖片的容量,就會發現儘管是同一張圖片,iPad 2的圖片容量遠大於WeChat的圖片容量。

對話紀錄 

在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/DB」路徑中可以發現副檔名為sqlite資料檔案。如圖7所示,以SQLite Browser打開MM.sqlite的資料檔案後,可以發現MM.sqlite記錄了用戶在WeChat上通訊的內容。此外,還有通訊的時間(UNIX的時間格式)、聯絡人的ID名稱。 

在圖7中,MM.sqlite的MesSvrID顯示了兩人對話的順序,但可以發現此順序並不連貫。而經過觀察,發現同時間內如果對話者不只有一位的話,則MesSvrID的順序會依著前一位對話者MesSvrID延續下去,而非再額外產生一組MesSvrID。 

▲圖7 在MM.sqlite中,兩人的對話紀錄。

Status顯示了不同對話者的代號,辨別訊息是由誰發出,從Message中也可以看出訊息的類別,若是文字訊息將以明文顯示,而訊息語音會顯示,圖片則顯示等。 

另外,從圖片與音樂的資料夾命名中可以得知,WeChat會以Hash值來識別對話者,在MM.sqlite的對話紀錄中也是以此Hash值來識別對話者,這一串Hash值會接在以Chat_開頭的表格之後,如圖8所示。 

▲圖8 MM.sqlite儲存對話紀錄的表格。

使用者資料 

在「/var/mobile/Applications/com.tencent.xin/Documents/58c8c76f39096665ed7e474304de0fe6/」路徑下的mmsetting.archive,以plist editor打開後,可以找到使用者在WeChat中所使用的ID帳號及註冊的手機號碼。 

以上的紀錄檔是在iTools下查看的,iTools會將iTunes備份檔以樹狀結構的方式來排列檔案讓用戶觀看,但是,iTunes產生的備份檔實際上是不會經過編排,都是儲存在同一個資料夾底下,如圖9所示。 

▲圖9 iTunes的備份檔。

從圖9中可觀察到,這些備份檔是沒有加註副檔名的檔案,但卻都有一個獨特的命名(Hash值)。這些檔案中有plist、聲音檔、sqlite資料庫檔、圖片檔,若要正確地開啟這些檔案,必須透過正確的檔案編輯器開啟。 

若以16進位編輯器Winhex打開iTunes的備份檔,會發現開啟的檔案中,表頭會帶有檔名特徵的字串,而這些檔名特徵字串就代表了檔案格式,這裡將其整理如下頁表2。 

表2 iTunes備份檔的特徵字串 

依此規則,鑑識人員可以有效率地檢視iTunes備份檔案,表3則是MM.sqlite與mmsetting.plist的Hash值字串。 

表3 iTunes備份檔與原始檔案名稱的對照表 

這兩串Hash值在iTunes中是固定產生不會改變的,只要找到這兩串Hash值就可以確定是MM.sqlite和mmsetting.plist,而其他的圖片檔、語音檔則沒有固定的Hash值。 

WeChat在iPod touch內的數位跡證 
同樣地,在iPod touch內執行與iPad 2相同的流程與步驟,觀察WeChat產生的訊息。與iPad 2相同,在同樣的路徑下,皆可以找到一樣的訊息紀錄檔案。 

但在路徑「/var/mobile/Applications」下,將發現檔名為com.apple.weather的資料夾,此資料夾在iPad 2的iTunes備份檔並無存在,而點擊打開後,並沒有任何的紀錄檔。 

實例演練 

當今資訊化的社會中,在資訊分享上能有更多且效率的方式,如電子郵件、社群網站、通訊軟體等。而社交通訊類的APP是其中被大家點擊下載使用的熱門軟體,朋友彼此間藉由通訊軟體的平台互相聯繫,知道對方的生活消息。但已有案例出現,非法人士透過社交平台進行犯罪交易或欺詐被害人的個人資料,獲取不法利益。 

假設A君利用WeChat傳輸訊息不易被執法單位追蹤的好處來進行毒品交易,但執法人員早已獲得通知這宗毒品交易,遂前往A君住處進行搜索。在A君的住處執法人員進行搜尋時,發現了煉製毒品的器具及大量的毒品。眼見事跡敗露,A君向執法人員坦承犯罪的事實,並供出另一人員B君。 

A君向執法人員指出B君是負責將煉製好的毒品交給吸毒犯的中間人,有了這一條線索,執法人員遂往B君的住所。但執法人員一到B君的住所時,B君即將一台iPad 2摔壞並將電腦關機,這個舉動更令人懷疑B君是要將犯罪跡證銷毀,避免被掌握到犯罪跡證。

在這樣的情形之下,相關人員將扣押的iPad 2及電腦交給鑑識人員做進一步的分析。在iPad 2被損毀的情況下,鑑識人員即從電腦著手。面對電腦關機狀態,鑑識人員為保全數位證據的證據力,需要按部就班去分析,謹慎地完成鑑識工作。接著,以三個部分內容說明鑑識的過程。 

1. 保存證據,確認電腦狀態 

B君的電腦處於關機狀態,所以鑑識人員可以直接對硬碟進行位元流製作映像備份,而之後的鑑識工作,就使用硬碟映像檔進行資料分析。 

2. 數位證據的調查 

從B君毀損iPad 2的動作觀察,鑑識人員初步判斷B君應該是在iPad 2中從事犯罪行為。從此點著手,鑑識人員則就以iTunes備份檔進行鑑識,而B君所使用的電腦作業系統為32位元的Windows 7 Home版本。 

在確認iTunes備份檔路徑後,鑑識人員以iTools開啟iTunes備份檔。如圖10所示,鑑識人員從iTools中發現B君有使用WeChat的習慣,於是鑑識人員著手搜尋iPad 2備份檔內的WeChat對話紀錄。 

▲圖10 iTools中,B君有安裝WeChat。

3. 發現犯罪訊息,還原事件 

iTunes備份檔存有B君在iPad 2上所進行活動的紀錄,而iTunes備份檔檔名是以16進位作為命名,並無有檔案格式的顯示。 

所以,為確定檔案格式,鑑識人員透過WinHex打開iTunes備份檔來確認檔案標頭的字串,其中檔名為72d86cadc845426a1ea134c793bcb400772a56fb的備份檔,其標頭字串為SQLite format 3,是資料庫檔。 

因此,鑑識人員即透過SQLite Browser打開此備份檔,發現這一個sqlite資料檔儲存了B君與A君的對話紀錄,如圖11所示。 

▲圖11 B君與A君的對話紀錄。

B君雖然破壞了iPad 2,使鑑識人員無法萃取資料。但因iTunes的自動備份設定,讓儲存在iPad 2內的WeChat通訊訊息經由iTunes備份至電腦內。 

而鑑識人員從備份檔中萃取出B君與A君在進行毒品交易的對話紀錄,證明B君的確在進行毒品的交易,企圖獲取不法利益。 

結語 

以上是針對iPad 2、iPod touch進行WeChat的可能鑑識方式,透過不存取紀錄的邏輯萃取方法,分析了iTunes的備份檔,發現相關的數位跡證在iTunes備份檔中會以固定的檔案名稱存在。 

另外,iOS(6.0.1)不會顯示檔案的格式,需要透過WinHex檢視檔案內容,觀察表頭字串的字元,從這些特殊的表頭字串知道備份檔的格式後,再選擇適當的應用程式開啟iTunes的備份檔。 

經由以上說明的方法,即使iDevice遭受破壞,鑑識人員仍然可由iTunes備份檔中萃取出與WeChat相關的數位跡證,還原使用者的對話記錄,以確定事件的真相。 

原作者:中央警察大學資訊密碼暨建構實驗室(ICCL)
轉載自《網管人》

沒有留言:

張貼留言