2014年6月2日 星期一

以手機鑑識工具XRY 實體萃取臉書即時對話資料 蒐集即時訊息App跡證 FB Messenger記錄現蹤

以手機鑑識工具XRY 實體萃取臉書即時對話資料
蒐集即時訊息App跡證 FB Messenger記錄現蹤

隨著手機等行動裝置不斷推陳出新,非法行為的手法不斷地改變,為了因應這些新的非法行為型態,使人們不再受到新型的詐騙手法危害,證據的蒐集方法也要不斷地改進。本文即針對Android智慧型手機Facebook Messenger App對話紀錄的萃取,分析留存在手機的數位證據來證明非法者的非法行為。

根據Google於2013年最新的統計數據,台灣地區的智慧型手機普及率為51%,占了台灣總人口的一半以上,因此逐漸有人將行動裝置應用在非法行為的進行上,例如毒販與買家間互相聯絡訊息、詐騙者用於進行金錢的騙取。

再加上行動裝置與社交網路的結合,使得社交網路已經漸漸從電腦延伸到手機上,智慧型手機使用者每日使用手機上社交網站的比例,已經從2011年的38%、2012年的55%,上升到2013年的61%,可見透過智慧型手機使用社交網站有越來越流行的趨勢。

由此,非法行為的類型也跟著拓展到手機上的社交通訊媒體,如LINE、Facebook訊息詐騙、惡意程式申請小額付費,即利用吸引人點選的簡訊,讓被害人點選網址,然後將木馬程式植入手機,進而發生金錢上的損失。

警政署的統計數據顯示,從2013年的8月開始出現,三個月內有674人被騙了177萬元。可見手機通訊軟體詐騙的影響力及威力相當大。

根據Facebook公布的台灣地區使用數據,每日使用手機等行動裝置上Facebook的活躍用戶高達710萬人,由此可見,台灣地區用手機等行動裝置上Facebook的比例相當高。另外,從Google於2013年的統計中,可以發現在各個智慧型手機上的社交網路平台中,使用Facebook的比例最高,如圖1所示。


▲圖1 Facebook使用比例最高。

由於使用人口居高不下,被詐騙對象將相當多了,因此對於延伸出來的非法行為類型也要有所因應。Facebook Messenger App即為Facebook所開發單獨傳送訊息的App,由於Facebook的使用率如此之高,Facebook Messenger App的龐大使用數量不言可喻。

本文所介紹的便是將智慧型手機中的Facebook Messenger App對話訊息萃取出來,以輔佐鑑識人員進行調查。

相關背景說明

以下分別介紹Facebook Messenger這個App的運作方式,以及何謂行動裝置鑑識與其使用的工具。

Facebook Messenger App 

Facebook Messenger App是Facebook推出的一款免費傳訊應用程式,目前主要支援iOS和Android平台。以往Facebook的應用程式就有傳送訊息的功能,而現在將傳送訊息的功能另外獨立出來成為一款新的應用程式「Facebook Messenger App」,為的就是要和手機的通訊錄相結合,並且簡化通訊軟體的使用。

Facebook Messenger App不但能夠與手機上的通訊錄同步,更可以用手機登錄、新增好友,也能直接透過Facebook Messenger App撥打電話,而且與Facebook上的好友進行通訊也更加方便,圖2~5為使用Facebook Messenger App時的圖示及流程。


▲圖2 Facebook Messenger App圖示。

Facebook Messenger App具有以下幾個特性,分別加以說明:

1. 定位服務功能
當使用Facebook Messenger App發送訊息時,會同時將自己的位置發送給對方,而此位置資訊只會傳送給對話的另一方知道,若不想讓對方得知自己的位置,也可以將此定位功能關閉。

2. 刪除訊息
只能單方面刪除自己的訊息,而對方所擁有的訊息,包含傳送給對方或從對方發送的,都不可能自行刪除。

3. 聊天大頭貼
當有新訊息傳來時,會在手機桌面彈出聊天大頭貼,並以小方框顯示傳來的訊息數目,若同時與多人進行對話,則只會顯示一個聊天大頭貼,但點開聊天大頭貼後,就會出現多個大頭貼並列,此時就可點選欲對話的大頭貼來開啟對話視窗(圖3)。


▲圖3 聊天訊息視窗。

4. 在線狀況
開啟Facebook Messenger App後,可以從各個朋友的大頭貼右下角找到一個上線狀況的小圖示,從中可以了解對方是使用電腦版的Facebook或手機版的Facebook Messenger App。

另外,若對方已有一段時間未使用Facebook Messenger App,則會在上線方式後方顯示出對方前次使用的時間為多久以前,若對方正在使用,在同樣的位置就會顯示「現在」。從圖4的兩張圖中可以比較出不同上線方式,以及是否正在使用Facebook Messenger App的差異。


▲圖4 對方登入Messenger方式。

由於Facebook Messenger App結合了電腦社交網路和通訊和定位,因此會如圖5般顯示出Facebook Messenger App關於定位服務的設定,若能萃取出其中的資料,對於非法行為的分析來說將有莫大的幫助。


▲圖5 定位服務會在傳訊的同時傳送自己位置。

行動裝置鑑識 

本文中的鑑識行為著眼於Facebook Messenger App對話訊息的萃取,因此以下針對手機等行動裝置資料的採集進行介紹。

行動裝置的類型包含智慧型手機、個人數位助理(PDA)、電子書以及平板電腦等等,每種類型又有各種各樣的製造品牌,使得資料的萃取也會因此有些微的不同。而在資料的萃取中,根據所收集的檔案資料類型不同,大致上可以分為實體萃取(Physical Acquisition)及邏輯萃取(Logical Acquisition)兩大類。

實體萃取 
實體萃取是針對儲存在裝置硬體中的資料進行採集,這部分的資料無法透過命令提示字元來取得,一般需要利用專屬通訊協定,直接將裝置中的所有記憶體以「bit by bit」的方式複製出來,才能進行分析。

實體萃取的資料通常雜亂而不易解讀,但因為其中包含了未配置空間等容易被忽略的區域,因此經常能夠從中復原出被刪除而未被覆蓋的資料,尤其是當為了掩蓋非法行為而刻意將資料刪除時,就能利用實體萃取來修復證據,因此實體萃取對於調查非法情事的幫助相當大。

邏輯萃取 
邏輯萃取的資料,為對裝置進行操作時即可獲得的資料。而其資料來源包含日誌檔和資料庫,是可以透過命令提示字元來取得的資料,其方法包含直接用連接線連接、讀取SD卡等。

邏輯萃取的資料較有條理且容易解讀,包含手機通訊錄、手機簡訊、通話紀錄、GPS等等。然而,邏輯萃取無法取得被刪除的資料。

實體萃取與邏輯萃取差異
實體萃取與邏輯萃取最大的區別,在於能不能還原出被刪除的資料,以及取出的資料是否有條理,而兩者的資料萃取方式也相當不同,如表1所示。

表1 實體萃取與邏輯萃取的差異 


實體萃取是直接將記憶體全部複製萃取,因而會包含未配置空間等可能還原出被刪除資料的區域;而邏輯萃取是透過作業系統API讀取檔案或資料,因此不能還原被刪除的資料。

在本次主題中,由於Facebook Messenger App的對話資料內容不屬於邏輯萃取的部分,因此要透過實體萃取才能找出目標的對話訊息。接下來的進行方式是利用實體萃取的方法,萃取出Facebook Messenger App的對話訊息。

使用工具 

本次實驗所用的工具為手機鑑識專用軟體XRY,以及Android的智慧型手機。

XRY 
XRY為一專為手機鑑識的開發軟體,其功能包含實體萃取、邏輯萃取,並可用於還原應用程式上的數據,如圖6所示。其支援的行動裝置包含行動電話、智慧型手機、平板電腦等等,而支援的手機型號種類更是超過了1,400種。


▲圖6 XRY的使用介面。

Android智慧型手機 
本次使用的Android智慧型手機版本為2.2的作業系統版本,手機製造之品牌為三星(Samsung)。相較於iOS作業系統有其官方提供的軟體iTunes可以進行iPhone手機的備份,Android作業系統的手機並無開發專門的備份軟體。因此本次主題即以Android智慧型手機為工具,進行Facebook Messenger App的對話訊息萃取。

鑑識與分析

進行手機鑑識時,若直接操作手機,有可能讓證據能力遭受質疑,因為有些人認為操作手機會影響手機內的一些資料,進而質疑證據是否有可能受到影響而改變。

因此,若能透過鑑識工具將手機中的對話訊息萃取出來,不但無須為獲得證據手動操作手機而讓證據遭受質疑,更可以針對萃取後的資料進行分析,以獲得更進一步的證據,並且幫助調查人員對案情的研判。

本次主題以XRY進行實體萃取,以獲得對話訊息及其他相關證據。進行實體萃取的流程如下所述。

首先,在進行實體萃取前,電腦上除了必須安裝XRY的軟體外,也要備有手機的驅動程式,一般狀況下,在連接傳輸線時電腦就會自動安裝驅動程式。在此環境下,即可利用XRY的金鑰USB和手機連接線連接電腦,開始進行鑑識流程。

接著,利用XRY進行手機鑑識時,依據以下介紹的XRY操作步驟,即可將對話訊息萃取出來。

使用XRY時,由於是從裝置中的資料進行萃取,因此要先點選頁面中的「Extract data from device」,之後XRY會從金鑰USB中確認使用權限,便可開始操作。

開始進行實體萃取前,必須先依序篩選出要進行鑑識的目標,有下列數個項目進行篩選:

●裝置種類:包含手機、SIM卡、Disk、GPS、Mobile Modem、媒體裝置。
●找尋鑑識裝置的方式:有自動搜尋、依據型號尋找、利用TAC碼、使用名稱搜索、利用歷史紀錄。
●該手機的製造商品牌名稱:選取該手機的品牌,XRY同時支援多種手機品牌。
●手機的種類:選取手機種類,包含折疊、滑蓋、旋轉、觸控等樣式。
●型號名稱:XRY會依據篩選結果顯示出其支援的手機型號,此時可能會出現許多手機型號提供選擇,依據圖片和型號名稱即可找到目標手機。若未出現在這些選項中,表示XRY不支援該型號的手機鑑識。

如此一一篩選後,即可找到要鑑識的目標智慧型手機。此次主題是針對Samsung智慧型手機進行實體萃取,因此篩選時的裝置種類將選擇手機,找尋鑑識裝置的方式則為依據型號尋找,製造商品牌為Samsung,而手機種類為觸控式,最後再依據手機型號名稱就可以找到目標。

點選手機型號後,就會顯示出XRY萃取目標手機資料的程度及條件,而萃取方式分為邏輯萃取和實體萃取兩部分。

如圖7及圖8所示,在邏輯萃取的部分,連接方式限用USB連接線連接,能夠萃取的資料包含電話紀錄、簡訊、E-mail等;而無法萃取的資料包括相片、影片、音訊、檔案等,都無法萃取出其內容。


▲圖7 XRY支援Samsung GALAXY Gio GT-S5660邏輯萃取的內容及限制。


▲圖8 XRY支援Samsung GALAXY Gio GT-S5660實體萃取的內容及限制。

至於實體萃取的部分,同樣地連接方式限用USB連接線連接,除此之外,Android的版本必須為2.2.1以下才能進行實體萃取,而能夠萃取的內容也只有檔案一項,其餘諸如簡訊、E-mail、通話紀錄等,都無法經由實體萃取而獲得。

確認型號後,即可選擇要進行邏輯萃取或是實體萃取,本次要萃取Facebook Messenger App對話訊息,因此選擇實體萃取,之後選擇要儲存萃取結果的位置,並將該檔案命名。

儲存之後,該檔案會有「.xry」的副檔名,表示這個檔案為XRY程式專用的檔案,只能利用XRY程式開啟。

等待萃取流程結束後,就可以開始進行分析資料的工作。此步驟須注意的是,完成實體萃取後,會再回到選擇實體萃取和邏輯萃取時的畫面,但會多出一個Finish選項,如圖9所示。


▲圖9 完成實體萃取後的畫面

若將此視窗直接關掉,會造成資料萃取失敗,應該要先點選Finish選項後才算真正完成。完成之後,會直接跳出實體萃取的資料。

實體萃取完成後,就可以開始分析實體萃取的結果,XRY將實體萃取的結果區分為DEVICE、FILES、XRY SYSTEM三大項,如圖10所示。


▲圖10 實體萃取結果畫面。

關於圖10中的專有名詞,說明如下:
●DEVICE:對於本次進行萃取的目標手機進行一般性介紹。
●FILES:本次範例中的實體萃取因為只支援FILES一項,所以真正包含萃取結果的就只有這一項。又再分為圖片、文件、檔案、未配置區域四個小項目,在「圖片」項目中包含網路上瀏覽過的圖片,以及Facebook Messenger App對話雙方使用的圖像。其中本次首要萃取的Facebook Messenger App對話內容即在「未配置區域」的項目中。
●XRY SYSTEM:記錄了本次進行XRY資料萃取的標的,以及對其萃取的限制與內容,還有萃取的流程紀錄。

本次分析的目標,即Facebook Messenger App中的對話內容,其資料就在「FILES/UNRECOGNIZED/threads_db2」資料夾中,此資料夾包含Facebook Messenger App的許多內容。

在「messages」的子項目中可以找到對話內容、訊息來源方、傳訊類別、時間戳等,其中從對話內容和訊息來源方對照可以清楚得知交談內容,如圖11所示可以發現確實有詳細的對話內容紀錄。


▲圖11 「messages」的子項目中可以找到對話內容、訊息來源方以及時間戳。

從傳訊類別可知該訊息傳送時使用的程式,例如該欄位顯示messenger表示使用Facebook Messenger App,chat表示使用電腦版的Facebook聊天室,而mobile代表使用行動裝置上的Facebook進行對話。此外,利用時間戳的對照,即可了解對話進行的順序。

除此之外,在「thread_users」的子項目也能找到對話雙方的姓名,如圖12所示。


▲圖12 在「thread_users」的子項目能找到對話雙方的姓名。

另外,在「FILES/PICTURES」資料夾,即實體萃取的圖片項目中,可以找到對話雙方的大頭貼圖像,而每傳送訊息一次就會萃取到一次圖像內容,因此萃取出來的圖像與訊息傳送的數量相同,如圖13所示。


▲圖13 圖片萃取結果。

實例演練 

在本例中,加害人Alice(A)偽裝為被害者「林OO」之好友「王OO」,要求其協助接收團購認證碼以進行詐騙,為證實加害人Alice確實利用Facebook Messenger App進行詐騙,針對加害人Alice之手機進行Facebook Messenger App對話之萃取,以獲取證據,其關係如圖14所示。


▲圖14 詐騙行為之關係。

情境背景 

加害人Alice所使用的手機為Android智慧型手機,而進行鑑識所使用的工具軟體是XRY。加害人Alice使用Facebook的手機傳訊應用程式Facebook Messenger App進行犯案,先偽裝成被害人的好友,再誘使被害人提供身分證字號並配合提供認證碼,使得被害人遭到金錢詐騙,其對話內容如圖15所示。


▲圖15 加害人Alice偽裝被害人好友進行詐騙之內容。

鑑識與分析

利用XRY對Alice所使用之Android智慧型手機進行實體萃取以及邏輯萃取。在實體萃取的部分,如圖16~17所示,確實可以從threads_db2中的messages找到Alice與被害者之間的明確對話內容,而在thread_users可以找到對話時雙方使用的身分名稱。


▲圖16 實體萃取結果之明確對話內容。


▲圖17 對話時雙方使用的身分名稱。

此外,實體萃取後也可以發現雙方對話時使用的圖像,而由其中的對話內容可以得知Alice對被害人的詐騙行為,而從對話時的身分能夠確定Alice確實冒用被害人好友身分,以上皆可用於證實Alice之非法行為。

在邏輯萃取中,除了可以了解Alice的手機中使用了那些軟體外,也能夠透過曾經連上的網路掌握其蹤跡,另外還有電子郵件、位置的歷史紀錄等,都可用於進一步的調查,如圖18所示。


▲圖18 邏輯萃取的結果。

證據推論 

從以上的資料分析結果推論,可以從Alice的手機中得知Alice偽裝「王OO」此一名稱,與被害者「林OO」利用Facebook Messenger App進行對談,而從對話訊息的內容之中了解到,加害者Alice確實有對被害者「林OO」進行詐騙的行為,如此一來,調查人員就可以利用這些資料作為證實犯罪者Alice犯行的其中一項證據。

結語

非法行為總是隨著最新科技發展而不斷更新,因此數位證據的取得也必須跟著日新月異。Facebook Messenger App是Facebook新開發的應用程式,而非法者已經開始將其作為非法工具進行非法行為,使得許多Facebook Messenger App的使用者一不小心就成了被害者,因此對於Facebook Messenger App的鑑識有其必要。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)> 

轉載自《網管人》