|
編者按 即便對(duì)于最具安全意識(shí)的群體��,有時(shí)也不得不開通手機(jī)GPS��。App自動(dòng)記錄個(gè)人活動(dòng)����,GPS數(shù)據(jù)凡走過(guò)必留下痕跡。本文通過(guò)實(shí)驗(yàn)�����,向大家展示利用可視化地圖,還原定位記錄�����,重現(xiàn)使用者的移動(dòng)軌跡�����。 文章來(lái)源:“中央警察大學(xué)”資訊密碼暨建構(gòu)實(shí)驗(yàn)室(臺(tái)灣)���。 用來(lái)記錄個(gè)人運(yùn)動(dòng)狀態(tài)的應(yīng)用程序����,確實(shí)會(huì)留存詳細(xì)的GPS資料����,若搭配相關(guān)軟件,即可找出他人的活動(dòng)狀態(tài)����。對(duì)此,本文將從Android智能手機(jī)中備份出應(yīng)用程序內(nèi)的GPS資料�,并將其軌跡重現(xiàn)在地圖上,進(jìn)而判斷是否有異?��,F(xiàn)象�,以協(xié)助犯罪調(diào)查。
近年來(lái)����,因?yàn)橹悄苁謾C(jī)的功能與方便性迅速發(fā)展,而受到許多民眾的青睞�,使得許多原本僅局限于電腦的網(wǎng)絡(luò)和電子服務(wù),可在智能手機(jī)上順暢運(yùn)行�,也因此智能手機(jī)或多或少存有公眾的個(gè)人或機(jī)密資料��,使其遭受到網(wǎng)絡(luò)犯罪或網(wǎng)絡(luò)詐欺的風(fēng)險(xiǎn)對(duì)比其他信息設(shè)備要高出許多����。
若從犯罪調(diào)查的角度去思考,操作者也可能會(huì)在使用智能手機(jī)時(shí)�,不經(jīng)意地留存有利日后調(diào)查的存留資料(電子證據(jù)),例如通聯(lián)對(duì)象的電話記錄�、通訊軟件的對(duì)話記錄、私密照片或全球定位系統(tǒng)(Global Positioning System����,GPS)資料等。如何針對(duì)智能手機(jī)進(jìn)行電子證據(jù)提取和分析�,以取得有助于破案的關(guān)鍵電子證據(jù)�����,尤為重要�����。本文將以Android系統(tǒng)為主�����,說(shuō)明如何提取Android智能手機(jī)的GPS定位數(shù)據(jù)�。
相關(guān)背景知識(shí)說(shuō)明
在開始說(shuō)明之前�,先簡(jiǎn)單介紹Android操作系統(tǒng)、全球定位系統(tǒng)(GPS)�、說(shuō)明何謂手機(jī)取證,簡(jiǎn)單介紹Google“我的地圖”(My Maps)功能���,以及會(huì)使用到那些取證工具軟件���。
Android操作系統(tǒng)
Android是開放源碼的移動(dòng)設(shè)備操作系統(tǒng),以Linux為基礎(chǔ)核心進(jìn)行修改及新增功能��,其可安裝于智能手機(jī)����、平板電腦�、穿戴設(shè)備等行動(dòng)設(shè)備��,由Google主導(dǎo)的Open Handset Alliance持續(xù)開發(fā)并更新�����。
全球定位系統(tǒng)GPS
全球定位系統(tǒng)是由美國(guó)國(guó)防部(Department of Defense)所開發(fā)的��,1994年正式提供服務(wù)���,它使用24顆人造衛(wèi)星,可以提供地球表面98%地區(qū)的定位���、測(cè)速及標(biāo)準(zhǔn)時(shí)間���。使用者只要持有GPS接收設(shè)備,且能接收到的衛(wèi)星訊號(hào)��,即可使用該服務(wù)��,且無(wú)須付費(fèi)��。
而Android GPS是Google Play的其中一個(gè)服務(wù),可以用來(lái)記錄Android設(shè)備使用者的軌跡���、所在地點(diǎn)����。
手機(jī)取證
電子數(shù)據(jù)取證可分為電腦取證����、手機(jī)取證、網(wǎng)絡(luò)取證��、資料庫(kù)取證�、多媒體取證、屬于新興科技之云端取證及物聯(lián)網(wǎng)(Internet of Thing����,IoT)取證等領(lǐng)域,且根據(jù)國(guó)際標(biāo)準(zhǔn)化組織(ISO)與國(guó)際電氣技術(shù)委員會(huì)(IEC)共同提出的ISO/IEC 27037標(biāo)準(zhǔn)���,電子數(shù)據(jù)取證流程又可分為電子數(shù)據(jù)證據(jù)的識(shí)別(Identification)����、收集(Collection)、獲?。ˋcquisition)以及保存(Preservation)等階段,如圖1所示�����。
▲圖1 電子數(shù)據(jù)取證流程
手機(jī)取證流程雖因各品牌手機(jī)操作系統(tǒng)���、傳輸介面等規(guī)格不盡相同��,在獲取電子數(shù)據(jù)證據(jù)階段略有差異����,但仍可以取得資料的種類�����,簡(jiǎn)單分為物理獲?���。≒hysical Acquisition)與邏輯獲?����。↙ogical Acquisition)。
所謂的物理獲取����,是通過(guò)專業(yè)電子數(shù)據(jù)取證設(shè)備與軟件,以比特流復(fù)制方式對(duì)目標(biāo)手機(jī)制作電子數(shù)據(jù)證據(jù)鏡像���,此方式的主要優(yōu)點(diǎn)是可以完整復(fù)制手機(jī)內(nèi)容����,并且有機(jī)會(huì)恢復(fù)刪除的資料或檢查隱藏的檔案�����。缺點(diǎn)是需要root(系統(tǒng)管理者)權(quán)限與較長(zhǎng)的制作鏡像時(shí)間���。而邏輯獲取���,則使用適合的連線機(jī)制,將手機(jī)連接至取證分析主機(jī)或手機(jī)取證設(shè)備��,再針對(duì)目標(biāo)手機(jī)執(zhí)行資料備份動(dòng)作����,即可取得邏輯性的文件資料��。優(yōu)點(diǎn)是處理過(guò)程速度較快且手機(jī)取證軟硬件規(guī)格要求較低��,缺點(diǎn)是無(wú)法還原已遭刪除的檔案(有些邏輯提取行為�,也可以恢復(fù)部分刪除的數(shù)據(jù):編者注)���。
Google地圖之“我的地圖”(My Maps)功能
Google地圖可以讓使用者進(jìn)行地址�����、商家���、景點(diǎn)等等的地點(diǎn)搜尋、通過(guò)街景畫面查看實(shí)況或路線規(guī)劃導(dǎo)航等功能����。本文使用Google地圖中的My Maps功能,可讓使用者自行定義目的地及順序�����,或?qū)PS定位點(diǎn)記錄導(dǎo)入到My Maps內(nèi)��,結(jié)合每筆記錄的時(shí)間信息�,以地圖方式描繪出GPS設(shè)備移動(dòng)歷程軌跡。取證分析人員可借此以更直觀的方式輔助分析GPS記錄是否有異常之處��。
軟件工具
這里將介紹ADB(Android Debug Bridge)和ABE(Android Backup Extractor)這兩種軟件工具�����。ADB是Android軟件開發(fā)者工具套件(SDK)中的一個(gè)調(diào)試工具��,使用者可通過(guò)指令介面以Linux Shell方式操作Android系統(tǒng)�����,進(jìn)行資料備份�����、修改設(shè)定或查詢?cè)O(shè)備狀態(tài)信息等動(dòng)作�����。以手機(jī)取證角度來(lái)說(shuō)����,ADB可直接存取Android系統(tǒng)底層資料,避免關(guān)鍵電子數(shù)據(jù)證據(jù)于使用者介面下為隱藏狀態(tài)而被忽略�。但預(yù)設(shè)的ADB執(zhí)行權(quán)限并非root����,若執(zhí)行的指令或欲蒐集的資料需要root權(quán)限�����,則必須先進(jìn)行權(quán)限提升才能執(zhí)行���。
而ABE是一個(gè)以Java語(yǔ)言編寫的開源解壓縮工具����,適用于Windows�、Linux及OS X等系統(tǒng),可解開擴(kuò)展名為ab的未加密文件����。假設(shè)有一個(gè)沒有密碼保護(hù)的文件“evidence.ab”,在Windows操作系統(tǒng)環(huán)境下需要被解壓縮成為tar文件����,則應(yīng)執(zhí)行“java.exe –jar abe.jar unpack evidence.ab evidence.tar”這樣的指令。
進(jìn)行實(shí)際測(cè)試
接下來(lái)�����,將以實(shí)際測(cè)試的方式來(lái)說(shuō)明整個(gè)操作過(guò)程。首先說(shuō)明目的和做法�,然后介紹實(shí)測(cè)環(huán)境���,并示范解說(shuō)實(shí)作過(guò)程��。
實(shí)作目的及做法
本文將實(shí)操?gòu)腁ndroid智能手機(jī)中提取出App的GPS數(shù)據(jù)�����,并將其軌跡重現(xiàn)在地圖上�����,提供取證分析人員取得可視化的電子數(shù)據(jù)證據(jù)的實(shí)務(wù)做法����。
首先�,步驟一:準(zhǔn)備有GPS功能的Android智能手機(jī),以及可用于記錄運(yùn)動(dòng)狀態(tài)的App�,并測(cè)試是否可通過(guò)ADB存取App的記錄檔案。步驟二:實(shí)際移動(dòng)并確認(rèn)完成GPS軌跡記錄后���,再使用ADB獲取手機(jī)邏輯檔案�。
步驟三:通過(guò)解壓縮工具ABE將獲取的邏輯文件(擴(kuò)展名為ab)提取(Extract)成可讓取證分析人員解讀內(nèi)容的文件���,再?gòu)钠渲姓页鯝pp里儲(chǔ)存GPS定位資料的文件位置�����。 最后����,導(dǎo)入My Maps – Google中�,重現(xiàn)使用者在地圖上的運(yùn)動(dòng)軌跡,借由圖形可直覺判斷是否有異?��,F(xiàn)象�,全部實(shí)驗(yàn)流程如圖2所示�。
▲圖2 實(shí)驗(yàn)流程示意圖
實(shí)測(cè)環(huán)境與限制
可用于記錄運(yùn)動(dòng)狀態(tài)的App種類繁多,本文選擇“Nike+ Run Club”�����、“RunKeeper”及“Endomondo”等三款較為熱門的App�,作為前述實(shí)驗(yàn)流程中測(cè)試是否可用ADB獲取資料的目標(biāo)。判斷方式為檢查App程序安裝文件(Android Package,APK)中的AndroidManifest.xml設(shè)定值內(nèi)容�����,該設(shè)定值文件為應(yīng)用程序的安裝相關(guān)參數(shù)��,于此文件中可以找出android:allowBackup����,此設(shè)定值若為0����,表示無(wú)法用ADB進(jìn)行備份。
以Endomondo運(yùn)動(dòng)App進(jìn)行APK設(shè)定文件檢查為例�,首先從網(wǎng)絡(luò)上下載Endomondo App的APK文件以及AAPT(Android Asset Packaging Tool)軟件工具。
使用AAPT時(shí)��,在命令提示符界面下可將APK文件中的AndroidManifest.xml文件取出并重新編碼成文本文件��,其指令及語(yǔ)法如圖3所示����,輸出的文件為demo.txt。 
▲圖3 使用AAPT軟件工具取出AndroidManifest.xml文件
然后���,查看android:allowBackup的設(shè)定值��,以確認(rèn)是否能用ADB進(jìn)行備份工作��,圖4是demo.txt內(nèi)容�����,可以發(fā)現(xiàn)android:allowBackup的數(shù)值為0�,表示無(wú)法利用ADB復(fù)制。 
▲圖4 查詢android:allowBackup數(shù)值
用前述檢查方法分析本文選擇的三款熱門運(yùn)動(dòng)App后�����,整理其結(jié)果如表1所示�,由此得知RunKeeper App可以進(jìn)行邏輯備份,因此選擇RunKeeper App做為本文實(shí)操對(duì)象�。
表1 運(yùn)動(dòng)App可否用ADB復(fù)制的檢查結(jié)果 
執(zhí)行本文實(shí)驗(yàn)所使用的軟件與硬件環(huán)境,分別列于表2與表3����。軟件工具部分,除了RunKeeper App外�,其余皆安裝于筆記本電腦中。
表2 軟件工具版本及功能說(shuō)明 
表3 實(shí)驗(yàn)的硬件環(huán)境 
執(zhí)行ADB之前�,手機(jī)必須開啟USB調(diào)試(USB Debugging),并且需要安裝手機(jī)驅(qū)動(dòng)程序,以本文選用的ASUS Zenfone 2為例���,應(yīng)下載并安裝ASUS Android ADB Interface�����,才能使ADB正確運(yùn)作��。
實(shí)操過(guò)程與結(jié)果
首先���,使用ADB進(jìn)行手機(jī)的邏輯提取���。負(fù)責(zé)邏輯提取手機(jī)資料的筆記本電腦須先下載并解壓縮SDK Platform-Tools for Windows�,并于解壓縮完成后的文件夾中���,按住鍵盤〔Shift〕鍵再按下滑鼠右鍵����,然后點(diǎn)選快速選單中的【在此處開啟命令行窗口】���。
開啟Android智能手機(jī)中的USB調(diào)試��,步驟依序?yàn)椋涸O(shè)定→開發(fā)人員選項(xiàng)→開啟USB調(diào)試���,如圖5所示�����,然后使用USB接線將Android智能手機(jī)與電腦連接����。
▲圖5 開啟Android智能手機(jī)中的USB調(diào)試功能
在原先開啟的命令行窗口中輸入“adb shell pm list packages”�����,以便確認(rèn)要備份的RunKeeper App其package名稱為“com.fitnesskeeper.runkeeper.pro”���,如圖6所示���,確認(rèn)此名稱的目的是為了只從Android智能手機(jī)中備份此一App的資料。 
▲圖6 執(zhí)行“adb shell pm list packages”指令
在命令行窗口中輸入“adb devices”��,可以確認(rèn)手機(jī)與電腦是否正確連接����。再來(lái)要進(jìn)行RunKeeper App的備份�����,將備份文件命名為“runkeeper.ab”并且存到“c:\”目錄底下���,其指令為“adb backup –apk –f c:\runkeeper.ab com.fitnesskeeper.runkeeper.pro”,如圖7所示�。此時(shí),Android智能手機(jī)會(huì)出現(xiàn)如圖8所示的畫面�,不輸入密碼且按下手機(jī)中的“備份我的資料”,手機(jī)就會(huì)開始備份指定App資料�����。
▲圖7 進(jìn)行RunKeeper App的備份
▲圖8 按下“備份我的資料”開始備份
接著�����,通過(guò)ABE將檔案輸出為可檢查的文件�。由于ABE工具是使用Java環(huán)境所開發(fā)的���,為了執(zhí)行ABE必須先安裝JDK��,本文下載安裝的版本是Java SE Development Kit 8u131 (Windows x86)��。
安裝完成JDK之后���,再執(zhí)行ABE進(jìn)行解壓縮��,然后于ABE解壓縮的文件夾底下執(zhí)行命令行窗口�,輸入“”C:\Program Files (x86)\Java\jdk1.8.0_131\bin\Java.exe” -jar abe.jar unpack runkeeper.ab runkeeper.tar”����,此指令可以將RunKeeper App的備份檔runkeeper.ab提取成runkeeper.tar壓縮檔。
然后���,從可檢查的文件中找出RunKeeper App里記錄GPS軌跡的數(shù)據(jù)�����,將runkeeper.tar壓縮檔進(jìn)行解壓縮后�,即可瀏覽RunKeeper App的數(shù)據(jù)���,從文件夾路徑中“…\runkeeper\apps\com.fitnesskeeper.runkeeper.pro\db”可以找到存有GPS運(yùn)動(dòng)軌跡的RunKeeper.sqlite數(shù)據(jù)文件��。
使用DB Browser for SQLite程序開啟RunKeeper.sqlite數(shù)據(jù)文件�����,如圖9所示�,在points數(shù)據(jù)表中發(fā)現(xiàn)GPS運(yùn)動(dòng)軌跡的經(jīng)緯度數(shù)據(jù),而trips數(shù)據(jù)表中可以找到運(yùn)動(dòng)的開始時(shí)間以及距離(216公尺)�����,其時(shí)間是以UNIX格式的時(shí)間數(shù)值記錄的��,可以通過(guò)轉(zhuǎn)換工具得到通用的時(shí)間格式����。將圖10內(nèi)的trips數(shù)據(jù)表中的start_date字段數(shù)值,進(jìn)行轉(zhuǎn)換���,可以得到運(yùn)動(dòng)時(shí)間���,如圖11所示。
▲圖9 在points數(shù)據(jù)表中發(fā)現(xiàn)GPS運(yùn)動(dòng)軌跡的經(jīng)緯度數(shù)據(jù)
▲圖10 從trips數(shù)據(jù)表中找到運(yùn)動(dòng)的開始時(shí)間和距離
▲圖11 將start_date字段數(shù)值輸入至網(wǎng)頁(yè)中轉(zhuǎn)換����,得到運(yùn)動(dòng)時(shí)間
最后使用My Maps – Google將GPS的定位數(shù)據(jù)導(dǎo)入�,重現(xiàn)使用者在地圖上的運(yùn)動(dòng)軌跡。將圖9內(nèi)points數(shù)據(jù)表中發(fā)現(xiàn)的GPS運(yùn)動(dòng)軌跡經(jīng)緯度數(shù)據(jù)導(dǎo)出���,另存成Excel文件���,再開啟瀏覽器連結(jié)至My Maps – Google(Google Maps)網(wǎng)頁(yè)����,將Excel文件導(dǎo)入并選取要顯示的經(jīng)緯度字段�����,設(shè)定采用數(shù)字序列的方式顯示��,如圖12所示�,即為使用者使用RunKeeper App所記錄的GPS運(yùn)動(dòng)軌跡,由于采用數(shù)字序列的方式顯示�����,可以清楚地了解使用者的運(yùn)動(dòng)軌跡是由1號(hào)�����、2號(hào)���、3號(hào)位置�,依序移動(dòng)到22號(hào)的位置。
▲圖12 使用者使用RunKeeper App所記錄的GPS運(yùn)動(dòng)軌跡
案例實(shí)踐說(shuō)明
以下舉例來(lái)說(shuō)明實(shí)務(wù)上的操作過(guò)程�,話說(shuō)經(jīng)由執(zhí)法機(jī)關(guān)的合法監(jiān)聽,發(fā)現(xiàn)A君是中部的毒品販賣者�,平時(shí)多隱身于校園環(huán)境中販賣毒品,其偽裝的方式是在學(xué)校操場(chǎng)慢跑�����,假裝自己只是來(lái)學(xué)校運(yùn)動(dòng)���,為了證明自己有運(yùn)動(dòng)的習(xí)慣還會(huì)使用手機(jī)App來(lái)記錄GPS運(yùn)動(dòng)軌跡���,但實(shí)際上是為了偷偷交易毒品。
經(jīng)過(guò)調(diào)查人員的多日追查�����,確認(rèn)A君將于近日校園內(nèi)進(jìn)行青少年毒品交易�����,遂于當(dāng)日進(jìn)行埋伏并順利逮捕A君����,扣押了交易過(guò)程中的毒品、交易金錢以及所使用的Android智能手機(jī)��。
為了協(xié)助調(diào)查毒品交易的范圍����,調(diào)查人員請(qǐng)取證分析人員對(duì)所扣押的Android智能手機(jī)進(jìn)行GPS數(shù)據(jù)的提取,并在地圖上重現(xiàn)GPS運(yùn)動(dòng)軌跡����,相關(guān)步驟流程如圖13所示。
▲圖13 對(duì)所扣押的Android智能手機(jī)進(jìn)行GPS數(shù)據(jù)處理的步驟流程
調(diào)查人員根據(jù)A君的GPS運(yùn)動(dòng)軌跡發(fā)現(xiàn)可疑之處�����,如圖14所示����,其GPS運(yùn)動(dòng)軌跡顯示當(dāng)A君在校園跑步時(shí),會(huì)在特定時(shí)間里離開操場(chǎng)走向校園偏僻角落�。
▲圖14 在GPS運(yùn)動(dòng)軌跡中發(fā)現(xiàn)可疑之處
根據(jù)此疑點(diǎn)當(dāng)面訊問(wèn)人犯A君,經(jīng)過(guò)訊問(wèn)后A君承認(rèn)是在校園偏僻角落進(jìn)行毒品交易����,說(shuō)明他確實(shí)在校園里犯案。
結(jié)語(yǔ)
本文通過(guò)實(shí)際提取手機(jī)App中的GPS記錄,配合可視化地圖�����,重現(xiàn)使用者移動(dòng)軌跡歷程���。若使用者有使用GPS定位功能的App之習(xí)慣����,可能會(huì)在不知不覺中留下行為記錄�����,在調(diào)查人員處理事件的過(guò)程中便可以針對(duì)當(dāng)事人的手機(jī)進(jìn)行GPS的數(shù)據(jù)調(diào)查����,以分析非法事件的相關(guān)地點(diǎn)及可能范圍,進(jìn)而查明真相��。
【編者注】取證技術(shù)應(yīng)當(dāng)被合法使用���,包括合法的目的���、合法的程序,亦可用于技術(shù)愛好者研究方面,但不可實(shí)施于其他非法目的�����。本號(hào)亦不承擔(dān)教唆或者傳播違規(guī)違法使用的責(zé)任����。
|
