標題:Android 採證鑑識,萃取手機FB對話紀錄
摘要:
針對世界盛行的FB Messenger,以Root後的手機透過ADB工具備份App資料,萃取其資料備份後,利用Cygwin還原成Windows環境可操作的資料,並以SQLite Database Browser對其內的聊天紀錄等資訊分析。藉由這些公開免費的鑑識分析工具,找出目標手機中遺留的通訊紀錄,以揪出跨國犯罪集團的幕後主使者。
正常的手機狀態下,是無法直接存取FB Messenger存放資料的路徑,一般存於「/data/com.facebook.orca」之下,由於「data」資料夾無法直接開啟,必須透過Root取得最高權限後才能存取,因此將手機做完Root之後,再依上述步驟產生分析用之.ab檔。
最後利用SQLite Database Browser對還原的檔案進行資料分析,以檢查出與案情相關的紀錄,隨著分析過程中,果然在「data/data/com.facebook.orca/databases」底下,在「threads_db2」找出FB Messenger中留存的歷史訊息,其中記錄著集團成員A及嫌疑首腦B曾經傳輸的訊息內容。
引用來源:
http://www.netadmin.com.tw/article_content.aspx?sn=1804030003