如何藉由 KnowledgeC
分析使用者生活模式(二)

2020-3-30 by 高田鑑識

一般來說,生活模式分析(Pattern-of-Life Analysis)的定義為透過監視來紀錄或理解目標用戶的習性與行為。 但如果有辦法取得目標用戶的數位紀錄,例如行動裝置上的資料,由於裝置不斷記錄用戶每日使用事件,可藉由裝置上的瀏覽紀錄,常用之 APP 等,可完整對應目標用戶實體的生活軌跡、習性、愛好等。該數據的分析不僅可以幫助重建過去的事件,更可以預測未來可能的結果。

交叉分析的重要性

數位鑑識人員不必透過偵詢來推斷嫌犯的不在場證明,或者在犯罪時間的前後活動是什麼。藉由數位裝置上帶有時間戳記事件、定位資訊和裝置的通訊記錄相結合的交叉分析,可以推斷出一個人與犯罪現場的關係。

什麼是 KnowledgeC 資料庫?

早期 PA 尚未直接支援分析 KnowledgeC 資料庫時,若要取得用戶裝置與 APP 使用紀錄只能藉由 SQL 指令來解析資料庫記錄的內容,這個過程若沒有資料庫分析師的背景,對鑑識人員是一個艱辛的挑戰,細節可參考去年翻譯的文章「透過 knowledgeC.db分析使用者生活模式」。

KnowledgeC 為 CoreDuet Daemon 背後的資料庫,而 CoreDuet 主要功能為記載每一個 Apple 裝置,如 iPhone、iPad、Mac 電腦等的應用程式狀態,以便同一個 iCloud 使用者在 iOS 與 macOS 裝置上「接力」(Handoff)使用。KnowledgeC 記錄著在使用者在手機上各種使用狀態,如螢幕開關次數,電池使用情況,APP 使用次數甚至聲音輸出的切換等等,紀錄的數據比一般人想像的還更加完整。

KnowledgeC 資料如何協助數位調查?

深入了解裝置何時被上鎖或解鎖,可得知該裝置在某個特定時間和地點在所有者手中操作。 例如,如果在裝置解鎖後立即有上網搜尋動作,或查看地圖,或打開WhatsApp,則可以合理斷定是所有者在操作。

另外一些其他資訊可以協助判斷,如裝置何時插入充電器或 PC,螢幕解鎖(成功或失敗),螢幕狀態等等。 這些資訊可以重建用戶的使用裝置時間軸,並知道用戶何時查看郵件或裝置在特定時間是否為所有者使用裝置。最好的例子可參考「駕車時發簡訊的致命後果」,若無法得知駕駛人在車禍過程中的手機操作行為,法院判決的比例結果可能會大不同;藉由數位取證後得知駕駛人在行進過程間有在收發訊息,因此分心導致事故,而數位證據可協助受害者與其家人伸張正義。

UFED Physical Analyzer 支援解析 KnowledgeC 資料庫

UFED 4PC 7.28 之後,4PC 已內建 checkm8 Full File System 提取功能,透過此方式可取得支援裝置之 KnowledgeC 資料庫(以往僅可透過 Cellebrite Advanced Services 或 Cellebrite Premium 的協助下才可取得該資料庫)。而從 UFED Physical Analyzer 7.19 後,PA 也內建解析 KnowledgeC 資料庫。

當 PA 解析後,會產生兩個新的分析模型,Device Events 與 Applications Usage,皆在 Analyzed Data 分類下:

  1. Device Events:
    • Audio Output route: 聲音播放來源。Receiver 為聽筒,Speaker 為底部揚聲器。
    • Device Lock Status: 裝置是否成功解鎖。
    • Device Plugin Status: 是否連接電腦或充電。
    • Display On/Off: 螢幕是否開啟。
    • Device Orientation: 裝置方向,直立或橫向。
    • Power Event: 是否開關機(該資料來源為 lockdownd.log)。
  2. Application Usage Log:APP 使用次數,開啟的起始時間、結束時間、在背景與總共使用時間。
  3. 搜尋紀錄。
  4. 網站瀏覽紀錄。

分析說明

為方便 KnowledgeC 資料庫提取與分析,以下採用一隻 checkra1n 越獄的裝置來示範操作。越獄後裝置可藉由 ssh 連線,快速提取 knowledgeC.db 資料庫相關檔案,指令說明可參考「如何透過checkra1n JB並提取iOS檔案系統」。提取的 tar 檔案匯入 PA 後記得要調整 Project Timezone,時間才可正確顯示。

複製

圖一、透過 PA 開啟 knowledgeC 的 tar 檔案

圖二、Device Events 可看到不同狀態

圖三、Applications Usage

圖四、網站搜尋紀錄

圖五、網站瀏覽紀錄