手机取证实例分享(一):消失的Skype

现在越来越多的案件都和手机取证息息相关,手机中存储着各式各样的应用(即APP),这些应用包含社交网络、即时通讯、电商购物、支付、出行等诸多类型。在这些APP中不但存储着涵盖文字内容的数据库文件,还有音视频、图片等媒体文件。
 
Skype是一款即时通讯软件,可在电脑、手机、电视、PSV等多种终端上使用,其具备IM所需的功能,比如视频聊天、多人语音会议、多人聊天、传送文件、文字聊天等功能。
 
Skype for Android 版本支持视频通话,允许用户进行跨平台的视频呼叫,可与使用iPhone, iPad, Mac, Windows PCs甚至电视的Skype用户进行视频通话。
 
案情说明:某县公安局在侦破一起案件中,通过调查扩线发现嫌疑人在手机端连接Skype 服务器20多次,但嫌疑人被抓获后拒不交代曾使用过Skype软件,于是办案单位着手针对扣押的嫌疑人手机中的Skype的记录进行提取分析。涉案手机品牌为三星S6 Edge,安卓版本6.0,基带版本G9200ZCU2DQC1,未root。
 
使用盘石手机取证黄蜂对三星手机直接提取分析,在应用列表查看嫌疑人是否安装并使用过skype使用痕迹,查看结果得知在列表中并未出现此类应用。
 
因该手机没有root权限,需要对手机进行官方解锁。通过在手机端安装CROM SERVICES.APK授权解锁,手机会自动重启证明解锁成功。
 
关机状态下,同时按住“音量下+HOME+关机键“  不松手,出来警告界面后,在按一下音量上键,会出现机器人模式拿到相关刷机文件后使用Odin进行授权,从而获取root权限,如图:





然后我们使用盘石手机取证黄蜂SafeMobile Pro对该手机进行镜像提取,得到镜像文件(13.2GB),如图:

使用盘石介质分析软件SafeAnalyzer对该镜像文件进行加载,在“恢复”功能按钮中勾选“文件特征恢复”选项,尝试寻找是否有被删除或卸载的Skype应用痕迹,但均未能发现,后又尝试了各大牛X恢复软件,依然无果。

 

山重水复疑无路,柳暗花明又一村。在SafeAnalyzer上设置“skype”为关键词(忽略大小写)进行搜索,命中结果中发现并找到了Skype的相关痕迹。追根溯源,发现路径是:\未使用空间\恢复的文件\xml\file_00183250.xml,在该文件中找到了该嫌疑人的Skype账号及其备注姓名(对比发现即真实姓名),如图:

在实际案件中,越来越多的电子数据取证聚焦在移动智能终端上的各类用户数据。尤其以第三方APP中的数据为首,且几乎都存在对已删除数据的恢复。目前,随着技术的发展,针对数据库记录级的恢复手段已基本成熟,但程序卸载、双清、恢复出厂后的文件级恢复几乎没有什么好的办法。也许上帝在关上一扇门的同时,可能真会打开一扇窗。在通过传统的镜像提取和数据恢复无果的情况下,不妨试试关键词搜索,或许可以找出另一片天。

 


Copyright © 2002-2017 - 盘石软件(上海)有限公司 版权所有 沪ICP备11022836
返回顶部