如何藉由 KnowledgeC
分析使用者生活模式(二)

2020-3-30 by 高田鑑識

一般來說,生活模式分析(Pattern-of-Life Analysis)的定義為透過監視來紀錄或理解目標用戶的習性與行為。 但如果有辦法取得目標用戶的數位紀錄,例如行動裝置上的資料,由於裝置不斷記錄用戶每日使用事件,可藉由裝置上的瀏覽紀錄,常用之 APP 等,可完整對應目標用戶實體的生活軌跡、習性、愛好等。該數據的分析不僅可以幫助重建過去的事件,更可以預測未來可能的結果。

交叉分析的重要性

數位鑑識人員不必透過偵詢來推斷嫌犯的不在場證明,或者在犯罪時間的前後活動是什麼。藉由數位裝置上帶有時間戳記事件、定位資訊和裝置的通訊記錄相結合的交叉分析,可以推斷出一個人與犯罪現場的關係。

什麼是 KnowledgeC 資料庫?

早期 PA 尚未直接支援分析 KnowledgeC 資料庫時,若要取得用戶裝置與 APP 使用紀錄只能藉由 SQL 指令來解析資料庫記錄的內容,這個過程若沒有資料庫分析師的背景,對鑑識人員是一個艱辛的挑戰,細節可參考去年翻譯的文章「透過 knowledgeC.db分析使用者生活模式」。

KnowledgeC 為 CoreDuet Daemon 背後的資料庫,而 CoreDuet 主要功能為記載每一個 Apple 裝置,如 iPhone、iPad、Mac 電腦等的應用程式狀態,以便同一個 iCloud 使用者在 iOS 與 macOS 裝置上「接力」(Handoff)使用。KnowledgeC 記錄著在使用者在手機上各種使用狀態,如螢幕開關次數,電池使用情況,APP 使用次數甚至聲音輸出的切換等等,紀錄的數據比一般人想像的還更加完整。

KnowledgeC 資料如何協助數位調查?

深入了解裝置何時被上鎖或解鎖,可得知該裝置在某個特定時間和地點在所有者手中操作。 例如,如果在裝置解鎖後立即有上網搜尋動作,或查看地圖,或打開WhatsApp,則可以合理斷定是所有者在操作。

另外一些其他資訊可以協助判斷,如裝置何時插入充電器或 PC,螢幕解鎖(成功或失敗),螢幕狀態等等。 這些資訊可以重建用戶的使用裝置時間軸,並知道用戶何時查看郵件或裝置在特定時間是否為所有者使用裝置。最好的例子可參考「駕車時發簡訊的致命後果」,若無法得知駕駛人在車禍過程中的手機操作行為,法院判決的比例結果可能會大不同;藉由數位取證後得知駕駛人在行進過程間有在收發訊息,因此分心導致事故,而數位證據可協助受害者與其家人伸張正義。

UFED Physical Analyzer 支援解析 KnowledgeC 資料庫

UFED 4PC 7.28 之後,4PC 已內建 checkm8 Full File System 提取功能,透過此方式可取得支援裝置之 KnowledgeC 資料庫(以往僅可透過 Cellebrite Advanced Services 或 Cellebrite Premium 的協助下才可取得該資料庫)。而從 UFED Physical Analyzer 7.19 後,PA 也內建解析 KnowledgeC 資料庫。

當 PA 解析後,會產生兩個新的分析模型,Device Events 與 Applications Usage,皆在 Analyzed Data 分類下:

  1. Device Events:
    • Audio Output route: 聲音播放來源。Receiver 為聽筒,Speaker 為底部揚聲器。
    • Device Lock Status: 裝置是否成功解鎖。
    • Device Plugin Status: 是否連接電腦或充電。
    • Display On/Off: 螢幕是否開啟。
    • Device Orientation: 裝置方向,直立或橫向。
    • Power Event: 是否開關機(該資料來源為 lockdownd.log)。
  2. Application Usage Log:APP 使用次數,開啟的起始時間、結束時間、在背景與總共使用時間。
  3. 搜尋紀錄。
  4. 網站瀏覽紀錄。

分析說明

為方便 KnowledgeC 資料庫提取與分析,以下採用一隻 checkra1n 越獄的裝置來示範操作。越獄後裝置可藉由 ssh 連線,快速提取 knowledgeC.db 資料庫相關檔案,指令說明可參考「如何透過checkra1n JB並提取iOS檔案系統」。提取的 tar 檔案匯入 PA 後記得要調整 Project Timezone,時間才可正確顯示。

指令
Copy to Clipboard

圖一、透過 PA 開啟 knowledgeC 的 tar 檔案

圖二、Device Events 可看到不同狀態

圖三、Applications Usage

圖四、網站搜尋紀錄

圖五、網站瀏覽紀錄