2014年12月1日 星期一

運用Android官方開發除錯工具 還原LINE通訊證據 - 數位鑑識on LINE 萃取手機即時訊息跡證

運用Android官方開發除錯工具 還原LINE通訊證據
數位鑑識on LINE 萃取手機即時訊息跡證

近年通訊類軟體搭載智慧型行動裝置的列車發展快速,從初期只能用文字圖片傳遞訊息,到現行設計能夠視訊通話並且可組織聊天群組,溝通暢行無阻,這足以說明通訊的重要及被重視程度。通訊紀錄是了解使用者通訊活動的重要依據,是以本篇文章透過萃取LINE數位跡證的討論,讓大家了解目前行動裝置的鑑識工作與證據取證作業。

為什麼通訊軟體會如此蓬勃發展?從以前的MSN、Skype,到現行行動裝置上的App,如LINE、WeChat、KakaoTalk,風行原因其來有致,這類通訊軟體無非是呼應了一般人的需求——社交溝通。

以往只能用口述的方式來描述身邊的人事物,但這樣口述效果總是有限,看不到畫面、受限距離。而現在通訊軟體成熟地發展,傳送照片、語音、位置訊息都是容易辦到,甚至交友也包含其中。行動網路的應用服務調查結果顯示,擁有手機的使用者花費在手機的時間有21%是在社交通訊上,排行首位,其次才是娛樂、瀏覽網頁。

社交通訊軟體中,LINE是廣被人知悉且使用,甫推行半年,就有千萬的下載次數,豐富的卡通貼圖、簡單對話方式及貼心的訊息功能,讓人愛不釋手。正當大家為其瘋狂之際,面對LINE所產生的通訊紀錄,將是鑑識人員眼前的議題。

在LINE時,犯罪正悄悄地靠近,犯罪者利用LINE通訊功能易於組織群組的特性,進行犯罪合作並且散播犯罪或詐騙訊息,以獲取不法利益。在這樣情況下,萃取出犯罪者所使用行動裝置內的數位跡證便成了首要工作,鑑識人員可從數位跡證中證實犯罪者行為是否違法。

另外,近期BYOD(Bring Your Own Device)的概念逐漸興起,將行動裝置隨身攜至工作,代表除了犯罪者外,也說明了一般人越來越依賴行動裝置,靠著它完成更多有價值性的作業。

有此可見,行動鑑識是刻不容緩的工作,在通訊或其他軟體作業過程中所產生的紀錄,將是鑑識未來的重點,鑑識人員如同偵探般的角色,抽絲剝繭,層層蒐集數位跡證,從蒐集的數位跡證還原使用者的活動,證實違法行為。

國際市調機構IDC調查,Android系統的行動裝置市占率高達78.6%,遠高於其他的作業系統(iOS、Windows)。以下將探討LINE在Android行動裝置上產生數位跡證的萃取方法。

在此課題下,得先了解存在Android系統內的數位跡證是不同於電腦的數位資料,它不會顯示資料格式,且它的證據屬數位微證據(Small Scale Digital Device),行動裝置鑑識非同於電腦鑑識,不再是大容量資料的鑑識。以下開始介紹相關鑑識方法,如何萃取數位跡證,方能確保其證據能力。

相關知識說明 

相關背景介紹,可從隱藏的數位跡證及鑑識原則的遵守兩方面來加以說明。

隱藏的數位跡證

LINE的通訊功能讓人們的社交變得容易,但是這個被大家所喜愛的通訊軟體,正被犯罪人士利用來進行非法的活動,如販毒、色情交易、詐騙,獲取非法利益。

一旦這些非法活動發生時,所產生的數位跡證就是鑑識人員的目標。因為要還原犯罪活動,關鍵就藏在這些便利的通訊功能下所產生的資料,好比傳送好友資料時會產生通訊錄紀錄、聊天時所傳送的圖文訊息。

從以前GSM系統到現在Android、iOS等多種系統,抑或萃取跡證從簡單的文字資料(如簡訊、聯絡人通訊紀錄)到較為複雜App軟體所產生的數位跡證,行動裝置的鑑識與時俱進。

行動裝置一系列的進步,造成數位跡證的改變。以往使用GSM通訊,鑑識人員多從SIM卡萃取資料,如用戶的聯絡簿、訊息、通話紀錄等,但隨智慧型手機的發展,要滿足鑑識需求,萃取行動裝置所產生的資料已不能侷限於文字或資料存放的位置只在於SIM卡。這一波智慧型手機的資訊革命,鑑識技術是絕對需要持續地發展,如此才有辦法應付科技的進步。

鑑識方法中有兩種態樣作法,包括「非破壞性鑑識」與「破壞性鑑識」,從表1中可以看出,破壞性的萃取方法,有可能會存取到原始資料,影響到證據力,但卻可獲取較詳盡的資料,而邏輯性萃取則恰巧相反。

哪一種方式是最適當,並無絕對答案,因為鑑識方法的選擇端看鑑識人員須取得多詳細的資料以及評估行動裝置的情況而定。暫時先撇開鑑識方法不談,說明一下鑑識的過程,有效的過程是影響數位跡證的證據力,其重要性不亞於鑑識方法。

表1 鑑識方法的比較 


鑑識原則的遵守

從前述中了解到,當使用LINE的某一項功能時,都會產生一筆紀錄。從這些紀錄檔中可以知道使用者曾經於LINE進行的通訊活動。探究鑑識的重要性,無非是鑑識人員可以從萃取出來的數位跡證內還原事件。但數位跡證的萃取方式如何才是有效的,或者能保有證據力,皆是鑑識的竅門所在,以下列出五項鑑識原則來檢視鑑識過程是否合乎合理的程序:

1. 數位跡證的儲存位置
鑑識人員在知道調查內容下,如通訊紀錄、媒體檔案,要確切知道這些數位跡證的儲存路徑,以便萃取出數位跡證。一般情形下,App軟體會依檔案性質分類儲存,而這些儲存路徑也是初步簡單判斷紀錄檔內容的依據,如「/data/data/jp.naver.line.android/databases/」路徑下的檔案則可初步判斷為LINE所產生的檔案。但可惜的是,這些路徑常會因Android系統開發廠商的不同而有變動。

2. 蒐集方法
鑑識人員得視現場狀況來決定蒐集方法,如行動裝置有無開機的情況。在無開機的情形,通常會透過鑑識工具直接做Bit-by-Bit的複製工作,隨後再行分析。而若是在開機的情況下,為避免存取紀錄影響證據力,鑑識人員會選擇凍結存取後再行萃取複製資料。至此,蒐集工作還尚未完成,萃取出的紀錄檔還得傳輸至實驗室,實體傳輸(如USB)或網路傳輸(TCP、無線)可就與實驗室的長短距離或事件的急迫性來做選擇。

3. 正確性
鑑識人員萃取的檔案與原始的檔案必須相同,因此在完成前兩項的鑑識作業後,必須再確認數位跡證的完整性。

4. 一致性
為了確保萃取出的數位跡證的可信度,在同樣的鑑識過程/方法下,鑑識的結果要求一樣,都要屏除人為因素,萃取結果不會因人而異。

5. 實用性
隨著科技的快速發展,各類型的行動裝置也如雨後春筍般被推展出來。在這波趨勢中,希望鑑識流程/方法能套用各種裝置,否則假如每個裝置就有一種鑑識方法實為複雜,相對地鑑識人員也會消化不了。

LINE鑑識介紹

關於LINE的鑑識方式,以下從獲取LINE的備份、ADB工具的內涵兩個面向來加以探討。

獲取LINE的備份 

一連貫介紹下來,對於行動裝置的鑑識萃取應該已經有了基本上的認識。但面對LINE通訊紀錄的萃取,可以選擇哪些方法呢?底下先介紹在基於Root與否的狀況下如何進行鑑識。

需ROOT,非LINE自建備份的機制
不像iOS系統,當連接電腦時,部分Android系統會自動備份的資料多屬於通訊錄、影音照片、行事曆等,無法針對特定App中的資料進行自動備份。為此,App軟體市集中出現了能夠備份Android系統行動裝置的程式,如Titanium Backup、Root Explorer。但這些App必須經過Root程序取得最高權限後,才能運行。而更換手機時,就能藉由這些備份軟體將LINE的紀錄檔備份出來,並轉移到新手機。

以RootExplorer為例,如圖1所示,使用者在選擇所要備份的目標後即可將紀錄匯出。以LINE為例,在開啟RootExplorer時,會要求欲備份App的路徑,而路徑「/data/data/jp.naver.line.android/databases/」下便是為LINE的紀錄檔儲存位置,找到該位置後就能將LINE對話紀錄進行備份。


▲圖1 RootExplorer的備份功能。

無需ROOT,LINE的備份機制
除了利用上述兩種App軟體進行備份外,其實LINE本身也有針對聊天訊息設計了備份的功能。使用者可對單一聊天視窗進行訊息備份,並且能夠選擇以電子郵件方式傳送備份檔。LINE的備份機制共分為「文字檔.txt」、「LINE的檔案格式」兩類:

·文字檔.txt:選擇此方法儲存訊息者,無法將聊天訊息中的貼圖進行備份,只能就文字部分儲存。

·LINE的檔案格式:此方式下的備份,將前述文字檔無法備份貼圖的部分給補足了起來。但因檔案格式屬於LINE自家所設計,使用者唯有再透過LINE軟體才有辦法解讀訊息內容,若透過其他軟體(如WinHex)開啟,則為亂碼是無法查看LINE的通訊紀錄。如圖2所示,備份出來的資料名稱帶有唯一的序號名稱,當使用者開啟LINE時再選擇匯入即可還原。


▲圖2 LINE的訊息備份。

若使用者選擇以手機為儲存位置,如圖3所示,LINE會將備份訊息儲存至LINE_Backup的資料夾中。


▲圖3 以本機裝置儲存LINE的對話紀錄。

如表2所示,以上這兩種備份方式各有所長,但能不能結合所長取得更好的鑑識結果,亦即免Root也可取得完整的備份資料。答案是肯定的,可透過ADB(Android Debug Bridge)來進行LINE訊息的萃取備份。

表2 LINE有無Root所獲取備份訊息的優缺點


ADB工具的內涵 

關於ADB工具的內涵,接著就由使用環境及使用指令兩方面來加以探討。

使用環境
顧名思義,ADB是常被Android程式開發者所使用,方便檢測程式有無執行錯誤並進行除錯。ADB其實是屬於Android SDK(Software Development Kit)內的一項工具。

可這樣去想像,在Windows中為探查硬體設備與系統的執行狀況,會執行「CMD(命令提示字元)」並輸入一系列的DOS指令查看詳細狀況。同樣地,程式開發者為了解Android系統與行動裝置間運行狀況,則透過了API(Application Programming Interface)介面來執行ADB指令操作或管理Android系統。

使用指令
那麼如何使用ADB指令讓鑑識人員能夠將儲存在行動裝置內的LINE通訊紀錄匯出呢?先介紹一下備份/還原訊息的指令及其所產生的備份檔,如下所示:



備份LINE App紀錄時,可先檢測是否正確連接上裝置,請執行「adb device」指令。若成功連接,則會顯示連接裝置的名稱(圖4),若無則除了可能連接不良外,也須確認行動裝置是否有開啟「USB debug mode(USB偵錯模式)」。確認後,上述的參數意義如表3所述。


▲圖4 執行adb指令,偵測連接行動裝置的型號。

表3 ADB各參數意義說明 


透過執行ADB指令,可以對Android行動裝置進行操作與管理,以本文探討的LINE為例,當鑑識人員面對所要萃取行動裝置內LINE的通訊活動紀錄時,就不需要透過Root(取得最高權限)的程序,只要執行相關ADB指令就可以獲取詳細的資料,避免了破懷數位跡證的疑慮。

實例演練

隨著犯罪走向智慧化及組織化後,調查犯罪案件已不是單打獨鬥所能夠應付的。現有,調查人員掌握一門犯罪組織販售毒品的消息,其中該組織內甲員進行毒品交易時被調查人員發現隨即逮捕。

但嫌犯甲聲稱販售毒品乃個人行為,非有其他犯罪組織支持,在未證實嫌犯甲所述事實前,調查人員遂將嫌犯甲平日所使用平板電腦進行查扣,並交於鑑識單位。調查分工中,鑑識人員負責將平板電腦內的數位跡證進行萃取備份的動作。在平板電腦中,鑑識人員發現嫌犯甲有使用LINE通訊的習慣,懷疑販毒集團是以LINE為通訊方式作為犯罪溝通,於是鑑識人員著手進行LINE數位跡證的萃取工作:

1. 確定行動裝置

嫌犯甲所使用的平板電腦屬於Android系統,在考慮數位跡證的證據力情況下,鑑識人員開啟USB Debug Mode(USB偵錯模式)並執行ADB指令,萃取LINE的通訊紀錄。

2. 執行ADB指令 

不需Root情況下,執行ADB指令能將LINE通訊紀錄備份至指定儲放位置,鑑識人員執行備份指令「adb -d backup -apk jp.naver.line.android -f backup.ab」,將儲存在平板電腦中的數位跡證(LINE)備份出來,如圖5所示。


▲圖5 執行ADB指令,備份LINE通訊紀錄。

3. 還原備份檔

調查分工中,鑑識人員將儲存於嫌犯甲平板電腦內LINE紀錄備份出後,便將該平板電腦交於其他調查單位進行其他偵查活動。

針對所備份的LINE紀錄(backup.ab),鑑識人員準備一台乾淨未有其他數位紀錄的Android手機進行還原。執行「adb -d restore backup.ab」將LINE紀錄備份檔還原至另一裝置中,如圖6所示。


▲圖6 嫌犯甲LINE紀錄備份成功還原至另一手機。

還原成功後,在手機執行LINE,鑑識人員發現嫌犯甲販賣毒品的紀錄及其他疑為嫌犯甲犯罪集團內的其他成員名稱,如圖7所示。


▲圖7 嫌犯甲LINE的通訊紀錄及成員名稱。

結語 

科技來自於人性,通訊軟體的發展是人們對於社交的需求。Anytime/Anywhere的通訊已然是趨勢,但在享受便利之餘,也必須考慮它帶來的負面影響——「通訊犯罪」。

如本例中所述,非法人士可以透過通訊軟體LINE進行犯罪活動,如販毒或組織犯罪團體,甚或進行更複雜及有效率的非法活動。所以,當有這類的情事發生時,鑑識人員該如何萃取通訊軟體所產生的跡證就非常重要了。另外,關於BYOD概念的推行,可預想鑑識趨勢將會在於行動裝置上的微證據萃取分析。

本文以台灣下載率很高的LINE作為探討對象,當非法人士透過Android行動裝置進行非法活動通訊時,鑑識人員可以萃取相關的數位跡證,取得關鍵訊息/對象,得以證實非法人士的活動。

<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>

轉載自《網管人