1

0
0

文字

分享

1
0
0

拿到嫌犯的手機了,然後呢?想抓到罪證可沒那麼簡單!初探數位鑑識的奧祕

活躍星系核
・2020/11/08 ・3242字 ・閱讀時間約 6 分鐘
  • 作者 / 慕容峰 │ 從事數位鑑識工作多年,在分析證物的過程中,彷彿側耳傾聽證物娓娓道來一般,同時審慎客觀地仔細分析察看,即便是旁枝末節也不輕易放過,浸淫其中而樂此不疲。

智慧型手機已然成為人們生活中不可或缺的一部份,舉凡記事、行程提醒、影音娛樂、購物消費、社群聊天、導航等等,皆可一機搞定滿足食衣住行育樂各種需求。

正因為如此,我們使用智慧型手機過程中所留存的各種資訊,其實就約等於使用者日常生活的紀錄。

智慧型手機成為現今提取犯罪證據的重點物品。圖/pexels

試想看看,倘若鑑識人員可以拿到嫌疑犯的智慧型手機(以下簡稱為手機),是不是就可以知道找出嫌疑犯的各種生活小細節呢?由此可知,手機的取證,已經逐漸成了犯罪調查的重中之重。

只要能有效提取手機裡的各項跡證,便有助於釐清有無與案情相關之處!

犯罪調查中的重點:智慧型手機!

對鑑識人員而言,雖然手機與電腦同樣都可以當作證物,卻有著很大的差異。

桌機、筆電的硬碟是可以拆卸的,然而手機是使用快閃記憶體(Flash)來儲存資料,而且直接焊在電路板上,再加上手機只有一個 USB 埠可資利用的情況之下,如何自手機中提取跡證,便成了鑑識人員的一大挑戰。

手機只有一個 USB 埠,增加鑑識人員提取跡證的難度。圖/作者提供。

首先,打開手機與工作站的 USB 通道!

為了保護手機的資料安全,手機廠商通常會限制 USB 連線後的權限,也就是說,當我們將手機用 USB 連上工作站(電腦)時,工作站無法馬上直接識別手機,也無法讀取手機裡面的資料。

因此當鑑識人員使用 USB 將手機連上準備好的工作站後,第一要務便是要讓手機可被工作站順利識別,建立手機與工作站之間的基礎信任關係,不然就什麼也做不了,更別說提取資料了。

  • 為了方便說明,在此我們先將情況簡化,假設鑑識人員非常幸運,拿到的手機沒有被鎖定。

這個時候,鑑識人員可以視情況在工作站安裝手機的驅動程式,接下來,讓手機透過 USB 連上工作站,並在手機中的「設定」中找到「開發人員選項」,開啟「USB 偵錯」功能,打開手機與工作站之間的 USB 通道。

拿來控制手機的「遙控器」:ADB

打開通道然後呢?鑑識人員究竟要怎麼做,才能提取手機內的資料?在此,我們就不得不先談談所謂的 ADB 啦! ADB 是 Android Debug Bridge 的縮寫,它就像是工作站拿來掌控手機的遙控器,當我們透過 USB 把手機連接到電腦後,就可以利用 ADB 的指令來控制、調教這一支手機。

完成這些步驟後,鑑識人員可以在工作站執行 ADB 的指令「lsusb」,來測試看看工作站有沒有辦法辨識 USB 裝置,如果執行獲得如下圖結果,就表示有順利辨識出連接的 USB 裝置。

順利辨識出所連接的 USB 裝置為行動裝置的結果圖。圖/作者提供。

接著,我們執行指令 adb devices 以查看手機目前的狀態。

建立手機跟工作站之間的基礎信任關係!

執行結果如下圖所示,圖中「BXXXXXDR」這個值,就像是手機在電腦中的裝置名字(識別值),手機的狀態為後面的「offline」 ,意即「離線」的意思。

進行取證時,需同時留意工作站及手機的狀態。圖/作者提供。

咦?剛剛不是已經接好了 USB 了嗎?為什麼手機的狀態還是離線呢?這時候我們必須將視線移開工作站的螢幕畫面,回頭看看手機螢幕上的動靜。

此時,我們可以發現手機螢幕上彈出了如下圖的警示訊息,為了能於此工作站上以 ADB 指令控制這支手機,並把資料提取出來,務必要勾選「一律允許透過這台電腦進行」並點擊「確定」,這樣才能讓手機跟電腦之間建立永久、有效的信任關係。

手機跳出的警示訊息。圖/作者提供。

一旦完成之後,就可以再次執行指令 adb devices。所得到的執行結果如下圖所示,狀態值由「offline」變成了「device」,即代表電腦成功辨識手機,並處於正常開機模式。

狀態值由「offline」變成了「device」。表示工作站及手機已建立信任關係,且下次連接無須再行確認。圖/作者提供。

由於信任關係已建立完成,在未撤銷的情況下,後續當這支手機再次接入此工作站時,便不會再次要求手機「允許 USB 偵錯」了。

你從來都不是手機心中「最重要」的人

接下來,鑑識人員要想辦法獲得手機的系統最高權限,讓工作站有權利提取手機的一切。

在這裡,要跟各位說明一件事,那就是「你未曾真正擁有過你的手機」。

連上廁所,我都不會讓手機離開我耶!為什麼它仍然不屬於我?圖/Giphy

各位想必不以為然,「手機的主人明明就是我,每天陪我吃喝拉撒睡,睡前、睡醒第一個看到的人都是它,它怎麼不是我的?」

但實情是,當各廠牌的手機一出廠,手機的預設環境都只是一般使用者環境,也就是說,你,只是這支手機的一般使用者,不是手機系統中的最高權限者。

為什麼廠商要這麼做?原因很單純,為了避免高昂的維修成本。

試想看看,如果每個使用者都擁有手機的最高權限,相對就有較高的機會將手機玩殘,一旦手機變磚(手機弄壞以至於完全沒反應),使用者就只能帶著它去找廠商幫自己擦屁股。廠商自然不樂見如此,因此,廠商在手機出廠時就會預設:僅讓使用者以一般權限帳號運行。

普通消費者在一般使用過程中,不太容易察覺到這件事情,只有某些非常規操作,像是「刷機」或「root」的玩家,才會用到比較高的系統權限。

提升你的地位,才能帶走手機的全身心

「提權」,意即將自己的操作權限由一般使用者提升至「系統最高權限」,造訪手機內部的任何路徑、存取手機的所有檔案。

對於鑑識人員來說,提權就是取得重要跡證的關鍵,一旦擁有裝置的至高無上權後,就可以從手機中獲得嫌疑犯的詳細資料、相關罪證。例如,當鑑識人員來到 Android 手機的 App 所在路徑 /data/data/ ,執行「ls –al」指令,就可以順利列出了該路徑下的資料夾及檔案。

執行「ls –al」後。圖/作者提供。

嫌疑犯與他人的通訊紀錄,時常也會成為重要的犯罪證據之一,倘若鑑識人員需要針對 Line 進行取證,便可在/data/data/路徑下查找是否有與 Line 相關的 「package name」,例如負責儲存 Line 相關資料的「jp.naver.line.android」資料夾。

當我們需要調閱 Line 裡面的聊天訊息時,鑑識人員會切換至「jp.naver.line.android」中的「databases」,裡頭便有著存放聊天訊息的關鍵檔案!

讀取 Line 的 databases資料夾後,可以找到內部的檔案列表。圖/作者提供。

鑑識的奧義:永不言棄,突破手機的「心防」!

透過鑑識人員與手機之間的「攻心大戰」中,想必讀者們對於智慧型手機的取證有了初步的了解,一窺鑑識人員不斷攻略手機的生活。

儘管面臨著重重難關及挑戰,鑑識人員從不輕言放棄,在巴掌大小的手機之間攻城掠地,力求掌握提取跡證的關鍵契機,為還原真相及打擊犯罪貢獻一己之力。

斗內泛科學,支持好科學!

所有評論 1
網站更新隱私權聲明
本網站使用 cookie 及其他相關技術分析以確保使用者獲得最佳體驗,通過我們的網站,您確認並同意本網站的隱私權政策更新,了解最新隱私權政策