手機鑑識流程Android手機取證實戰

時間 :17:48 取得文章短網址

文章分類 : News

隨著移動通訊技術所提供服務水平和服務種類的不斷提高,手機已日益成為人們工作生活中不可或缺的聯繫工具。然而與此同時,利用手機進行詐騙、誹謗和偽造等犯罪活動也屢見不鮮,手機取證正是打擊這類犯罪的一個有效手段,本文將介紹在 Android 手機下如何取證。

根據美國國家標準技術局 NIST (National Institute of Standards and Technology) 對手機取證的定義,手機取證是指在健全的取證環境中,使用恰當的手段,從手機及相關設備中恢複數位證據的科學。從概念上講,手機取證就是從手機 SIM 卡、手機內外置儲存卡、以及移動網絡運營商數據庫中收集、保存和分析相關的電子證據,並最終從中獲得具有法律效力、能被法庭所接受的證據的過程。

手機取證原則
為了保證數位證據在整個生命週期中的完整性和問責制,在遵守基本的調查原則和保證提取數位證據的法律效力最大化的前提下,手機取證必須遵守幾個原則。首先為證據的手機及其相關設備中的數據是未經改動的,對其的任何操作要保證原始數據的完整性。其次是要由專業人員存取手機及其相關設備中的數據,這些人員必須有相關資格,並且能解釋其行為。所有對手機及相關設備的操作,包括對證據的獲得、存取、提取、儲存和轉換,都必須由第三方建立日誌審計,並完全歸檔保存,以備質詢。NIST 手機鑑識流程分為保存 (Preservation)、蒐集 (Acquisition)、檢驗及分析 (Examination and Analysis) 和報告 (Reporting)。

 

保存

數位證據因其無形的特性,造成鑑識過程中容易遭破壞,或採集證據時因處理不當受損,不妥善保存數位證據原始狀態,將可能危及到數位證據的佐證能力。對於採證的過程應詳加記錄,且要在不改變或破壞證物的情況下取得證物。非必要時也不得關閉電源,因為像記憶體中揮發性的資料,會隨著電源的關閉而流失,重要的證據可能因此而消逝。另外,蒐證時儘可能保持兩人同時參與的原則,防止資料單一竄改的顧慮。

 

蒐集

將從犯案現場中取得的數位設備,以取得映像檔案或其它方法,取得儲存於數位裝置中的數位數據。包括文字、圖片、影像、聲音及被刪除的檔案。

 

檢驗及分析

檢驗是將蒐集到的數位證據揭示,包含隱藏檔案或遭刪除的檔案,分析則是將採集到的數位證據,透過現有數據將證據中與案情高度相關的證據數據化或結合,以利協助釐清案情。

 

報告

將數位證據分析結果,以清晰明了方式呈現,如報表檔案。由於數位證據是抽象的,加上法官等司法人員對電腦鑑識知識並非十分清楚,所以證據的取得必須做完整的解釋說明,且要能邏輯性說明在蒐證的過程中,證物沒有遭到改變,以確保證物的證據力。以上都是 NIST 定立的原則,布興趣的朋友可以到 NIST 網站查看本文。http://csrc.nist.gov/publications/nistpubs/800-101/SP800-101.pdf

 

常見的手機取證軟件


在實際的手機取證過程中,各種取證軟件的使用已變得越來越普遍。雖然目前的一些手機取證軟件,多少都存在一些缺陷,但只要調查取證人員能有針對性地加以綜合利用,還是可以達到令人滿意的取證效果。如今業界常用的手機取證軟件可大致分為兩類,其一是專門處理手機 SIM 卡的取證軟件,另一種是對手機儲存卡進行取證的軟件。

 

SIMcon
SIMcon 可使用標準智能卡的讀卡器來,完整地顯示 GSM 手機 SIM 卡上的數據訊息,並提供分析報告。另外它使用計算取證數據的 Hash 值,來保證取證前後數據的一致性。同時它也支援多國語言的字符集,能正常顯示不同語言下的文本訊息。

 

Forensic SIM
Forensic SIM 是一個軟件工具套件,它支援多個國家語言的字符集,能正常顯示各種語言下的短消息、電話簿和個人行程表等文本訊息。除了用來獲取 SIM 卡上的數據訊息外,它還能對這些數據進行分析,並以標準格式 DTF 或 HTML 生成分析報告。

 

Cell Seizure
本軟件主要用來獲取手機儲存卡中的數據,包括地址簿、電話簿、電話記錄以及保存的和已刪除的文本訊息。此外還可對手機中的數據,提供完整性檢驗,並且可最後生成 HTML 格式的分析報告。

 

XRY

XRY 不但能在取證過程中提取手機儲存卡中的數據,而且還會建立一個加密檔案,以防止未授權人對數據進行任何操作。此外 XRY 也會在取證結束後,向取證人員提供一份分析報告。

 

Android 智能手機取證實戰

以上介紹的都是要付費的軟件,當然在這裡要詳盡介紹的話,都是一些開源的方案。首先準備一台 Android 手機,版本在 1.6 以上,並準備一個容量大於 512MB SD卡。當手機連接到電腦上時,預設使用的是 USB 模式,只能存取內部的 SD 卡數據,因此我們需要對手機進行設置,並安裝相應的驅動程式,這樣才能在手機連接到電腦時,讀取到手機系統內部的數據。不同手機作業系統在該設置上有不同的方法,以 Android 2.3版本作業系統為例,需要在主菜單的設置中,將其模式設置成 USB 模式 (USB Debugging),再根據手機型號安裝驅動程式以讀取系統數據即可(圖1)。
(forensics01)

權限提升

進行手機取證時,需要對手機作業系統檔案進行讀取,由於考慮到手機作業系統的安全問題,不少手機作業系統,都對系統存取權限作出了限制。以 Android 為例,因為 Google 認為手機使用者並非都是專業的 Linux 玩家,所以將 Android 系統的 root 權限移除了。為了可以順利對手機進行取證,我們需要獲取到對手機系統進行存取的權限,這就需要利用廠家預留的接口或是其他一些系統漏洞,來對作業系統的存取權限進行提升。在 Android 作業系統裡,就有多種方法可以取得系統權限,包括利用 telnet 取得 root 權限、利用 fastboot 進入 recovery 模式取得 root 權限、用 WIFI 漏洞取得 root 權限,或利用一鍵解鎖軟件獲取 root 權限等方法。

 

使用 z4root

這裡筆者使用 z4root 軟件,在手機上安裝 z4root 以後,點擊 root 然後手機自動重啟即可 root。如果 root 不成功或者出現臭蟲,重啟機器即可恢復之前狀態。基本適配所有設備非常安全,下載鏈接如下:
http://www.yingyong.so/DownLoad.aspx?id=1691&tid=1&file=Z4Root_1_30.apk 取得 root 權限的好處很多,我們可以備份系統,以及使用高級的程式,例如屏幕截圖、Root Explorer 等等,修改系統的內部程式等等。如果 Android 系統版本在 2.2 以上,更可以將程式安裝到 SD 卡中。

 

獲取軟件

接下來我們介紹一下即將使用的數個工具,數位監識與安全服務供應商 viaForensics 提供了一個開源工具AndroidForensics.apk,下載鏈接如下。
http://l-lacker.com/android/AndroidForensics.apk

另外高雄師範大學訊息教育研究所在同一基礎上,開發了 Android 智能手機取證工具ForenDroid1.0.apk,下載鏈接如下:
http://crypto.nknu.edu.tw/download/ForenDroid1.0.apk

以上兩個軟件要求 Android 1.6 以上才能使用。

 

使用 ForenDroid
兩者使用方法基本相同,以 ForenDroid1.0.apk 為例,可使用 ADB 安裝 ForenDroid1.0.apk。Android SDK 提供的 Android debug bridge (ADB) 工具,包括在工作站上執行的客戶端和伺服器端,及在仿真器或裝置上執行的程式。某些 ADB 命令如 dd、ls和 pull,因可存取內部儲存器的數據,常被使用在鑑識工作上。

./adb install ForenDroid1.0.apk (ENTER)
321 KB/s (770138 bytes in 1.907s)
pkg: /data/local/tmp/ForenDroid1.0.apk
Success

安裝完成後,手機應用程式中會出現圖示

安裝完成後,手機應用程式中會出現圖示

點擊 Forensics 按鈕,參照 NIST 手機取證流程。首先建立取證檔案,取證人員需紀錄手機上的時間及手動輸入取證日期時間,目的是為了避免手機上的時間設定錯誤或誤差。然後設定取證檔案編號、取證檔案人員名稱、註釋等訊息(圖3),系統會在 SD 卡中建立一鑑識資料夾,並以鑑識人員輸入鑑識檔案編號命名。

確認取證手機運行狀態,包括 IMEI (International Mobile Equipment Identity),這是國際移動設備身份碼的縮寫,國際移動裝備辨識碼是由 15 位數位組成的字串,它與每台手機一一對應,而且該碼是全世界唯一的。另外要確認目前記憶體狀態、執行中應用程式、手機電量、開機時間、WIFI Mac 地址等(圖4)。下面取證手機的 SIM 卡,包括 SIM 卡狀態、ICCID (Integrate circuit card identity) 集成電路卡識別碼(固化在手機SIM卡中)。ICCID 為 IC 卡的唯一識別號碼,共有 20 位數位組成。另外 SIM 卡供貨商、SIM 卡號也可看到(圖5)。最後是系統日誌取證工作界面(圖6),取證人員可以選擇其所需要數位證據,並將報表輸出至鑑識 SD 卡,如瀏覽器紀錄、通聯紀錄、聯繫人、短訊記錄等。

完成工作後退出軟件,可以在檔案管理器中,看到 SD 卡中的取證檔案(圖7)。檔案管理器中看到 SD 卡中,包括下表中的取證檔案。我們也可以直接在手機中使用編輯器查看(圖8),圖中是 Browser.txt 手機互聯網瀏覽器記錄界面。也可以把 SD 卡取出,使用其他工具如 OpenOffice.org Calc 查看(圖9),圖中便是 SMS.txt 手機短訊記錄的界面。

檔案名稱 說明
Browser.txt 手機互聯網瀏覽器記錄。
Call_log.txt 手機通話記錄。
case123.txt 取證檔案訊息。
Contacts.txt 手機聯繫記錄。
Phonestate.txt 手機狀態訊息,包括電池、運行時間、無線接入。
Phonestate-Memorystates.txt 手機記憶體訊息。
Phonestate-Running process.txt 手機運行進程訊息。
Sim.txt SIM 卡訊息。
SMS.txt 手機短訊記錄。

使用 AndroidForensics
數位監識與安全服務供應商 viaForensics 提供的開源工具 AndroidForensics.apk。工作方式更加簡單,安裝方法如下:

./adb install AndroidForensics.apk (ENTER)
21 KB/s (201318 bytes in 0.907s)
pkg: /data/local/tmp/AndroidForensics.apk
Success

它的工作界面也更加簡單。

 

按 Capture 按鈕即可完成工作,之後在 SD 卡下,會建立一個 forensics 目錄包括如下檔案,內容如下。

檔案名稱 說明
Browser.csv 手機互聯網瀏覽器記錄。
CalllogCalls.csv 手機通話記錄。
ContactsMethods.csv 手機聯繫訊息,包括電話號碼和Email。
Organizations.csv 組織訊息。
People.csv 聯繫人訊息。
SMS.csv 手機短訊記錄。
表2:forensics 目錄下的檔案。

當然我們也可以把 SD 卡取出,讓其他工具使用,圖12便是 OpenOffice.org Calc 查看如表2中提及的 Browser.csv 手機瀏覽互聯網記錄的界面。Android 是開放源代碼的作業系統,將來會有越來越多手機都採用此作業系統,難保不會被犯罪者所利用,本文介紹的智能手機取證軟件,正是為了應付此局面而產生的。

 

你可能會對以下文章有興趣:

Leave a Reply

Your email address will not be published.