國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
43
路封包中發現PDF 或其他相關字樣。
三、MEGA
本次實驗在情境一到情境四的狀況下,所傳輸的封包量相當少,甚至無法從中取得 使用者帳號密碼或下載、上傳檔案等相關資訊,我們未能得知任何與使用者相關且有用 的數位證據。但在登入過程中,曾經傳輸 AWSAccessKeyId 的資訊(如圖 10),表示 MEGA 應該是採用美國亞馬遜公司的雲端服務(Amazon Web Services,AWS),而且還 有到期時間資訊,所以我們推測 MEGA 可能利用這組 AWSAccessKeyId 登入存取雲端 服務。
圖 23:MEGA 傳送 AWSAccessKeyId 資訊
4.2 檔案分析
檔案分析即是擷取雲端儲存APP 在 iPhone 中所建立產生的所有資料,並加以分析 檢驗,由於iPhone 已經越獄,我們已經取得最高權限,所以能取出所有資訊而無所遺漏。
而我們將利用iTools(如圖 11)至路徑/var/mobile/Containers/Data/Application 底下擷取 OneDrive、Google Drive 及 MEGA 所有資料,而在相同路徑下也可發現其他 APP 資料。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
44
以下將針對各個雲端儲存APP 所擷取出來的資料進行說明。
圖 24:iTools 版本資訊
一、OneDrive
利用 iTools 將 OneDrive 資料取出後,開啟資料夾進行檢視,發現有 Documents、
Library、StoreKit 及 tmp 等 4 個資料夾(如圖 12-1),還有一個 plist 檔案,將針對所發 現之資訊,依序進行說明。
圖 25-1:OneDrive 檔案內容
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
45
(一)在路徑/Library/Caches/com.crashlytics.data/com.microsoft.skydrive/analytics/v1 底下 的資料夾ACTIVE 存有 log 檔案,此處為 1.log 檔案,其中包含 iPhone 作業系統 資訊,以及是否越獄資訊,還有bundle ID 資料等(如圖 12-2)。
圖 26-2:OneDrive 的 1.log 內容
(二)在路徑/Library/Caches/com.microsoft.skydrive 底下有檔案 HSTS.plist,裡面包含很 多網站網址的資訊(如圖12-3),例如log 分析、虛擬主機出租或入口網站(yahoo)
等,雖然發現這樣的情況,但仍不確定這些網站資訊存在的用途。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
46
圖 27-3:OneDrive 的 HSTS.plist 內容
(三)在路徑Library/Caches/io.fabric.sdk.ios.data/com.microsoft.skydrive 底下有 settings.j son 檔案,裡面是有關於當 OneDrive 發生錯誤時,錯誤資訊的傳送設定,其中包 含錯誤提示訊息「"prompt":{"title":"Send Crash Report?","message":"Looks like we crashed! Please help us fix the problem by sending a crash report."」(如圖 12-4)。其上傳位置為「https://api.crashlytics.com/spi/v2/platforms/ios/apps/com.mi crosoft.skydrive/beta_update_check」(如圖 12-5),錯誤報告存放的位置為「https:
//reports.crashlytics.com/spi/v1/platforms/ios/apps/com.microsoft.skydrive/reports」
(如圖12-6)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
47
圖 28-4:OneDrive 錯誤提示訊息
圖 29-5:OneDrive 錯誤傳送位置
圖 30-6:OneDrive 錯誤報告儲存位置
(四)在路徑/Library/Caches/PSPDFKit/Pages 底下含有文件檔案的快照圖片(如圖 12-7),此處則包含兩張jpg 檔案,一張比較大,可清楚看出文件內容,一張比較小,
無法清楚看出文件內容,另外有 PSPDFCache.sqlite 檔案,記錄快照檔案的資訊
(如圖12-8)。
圖 31-7:OneDrive 的文件檔案快照
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
48
圖 32-8:OneDrive 的 PSPDFCache.sqlite 內容
(五)在路徑/Library/Caches/Snapshots/com.microsoft.skydrive 底下,可發現 OneDrive 對手機畫面截圖的圖片(如圖 12-9),也包含較小的縮圖檔案。目前經過多次測 試,都僅針對開啟OneDrive 的畫面進行截圖,並未擷取使用者操作其他 APP 的 畫面。
圖 33-9:OneDrive 截圖畫面
(六)在路徑Library/Cookies 底下有個 Cookies.binarycookies 檔案,裡面包含使用者帳 號及系統ID 資訊(如圖 12-10)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
49
圖 34-10:OneDrive 的 Cookies 檔案
( 七 ) 在 路 徑/Library/Database 底 下 有 個 資 料 庫 檔 案 「 moddatabase.db 」 裡 面 , 在 MetadataItem 的 table 裡面,記錄了檔案的 metadata,包含經緯度位置,檔案來源、
擁有者、大小,及hash 值等資訊(如圖 12-11);在 SyncRoot 的 table 裡面,則有 最後同步時間(如圖12-12)。
圖 35-11:OneDrive 的 MetadataItem table
圖 36-12:OneDrive 的 SyncRoot table
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
50
(八)在/Library/manualFileUpload 路徑底下有個檔案「1B166D33-01EB-4B70-8027-5B6 194CF5A4E」沒有副檔名,將他以 WinHex 開啟,發現檔頭部分有 ÿøÿá 字樣(如 圖 12-13),是屬於 jpg 檔案的檔頭特徵值,所以嘗試給予該檔案副檔名.jpg,並 利用windows 內建圖片顯示器開啟,發現其為使用者所上傳的圖片檔案(如圖 1 2-14)。
圖 37-13:OneDrive 檔案之 JPG 檔頭特徵值
圖 38-14:還原 OneDrive 上傳圖片檔案
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
51
(九)在/Library/Preferences 路徑底下有個檔案 com.microsoft.skydrive.plist 可以發現網 頁資料庫的儲存路徑及版本時間等資訊(如圖12-15)。
圖 39-15:OneDrive 檔案 com.microsoft.skydrive.plist 的內容
(十)在/Library/ StreamCache 路徑底下則含有檔案的快取資料(如圖 12-16)。
圖 40-16:OneDrive 快取資料示意
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
52
二、Google Drive
利用iTools 將 Google Drive 資料取出後,開啟資料夾進行檢視,發現有 Documents、
Library、StoreKit 及 tmp 等 4 個資料夾(如圖 13-1),還有一個 plist 檔案,以下將針對 所發現之資訊,依序進行說明。
圖 41-1:Google Drive 檔案內容
(一)在/Documents/drivekit/users/114685138436259289442/contacts 路徑底下,有資料庫 檔案 gdk-contact-store-db.sqlite,其中在「ZGDKCONTACT」table 可發現含有其 他聯絡人的資訊,這些聯絡人都是曾經共享過檔案的對象(如圖13-2)。
圖 42-2:Google Drive 共享檔案之對象
(二)在/Documents/drivekit/users/114685138436259289442/cello 路徑底下有資料庫檔案 cello.db,其中在 items table 有列出在雲端檔案的相關 metadata 資訊,如創造、修 改日期,檔名,id 或檔案類型等(如圖 13-3)。在 properties table 內則含有使用 者的ID、E-mail、使用者名稱等資訊(如圖 13-4)。在 stable_ids table 內則列出 每個檔案在雲端上的id 資訊(如圖 13-5)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
53
圖 43-3:Google Drive 檔案 cello.db 的 items table
圖 44-4:Google Drive 檔案 cello.db 的 properties table
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
54
圖 45-5:Google Drive 檔案 cello.db 的 stable_ids table
(三)在/Documents/drivekit/users/114685138436259289442/thumbnails 路徑底下含有許多 子資料夾,每一個資料夾都是代表每一個檔案的圖片縮圖或文件截圖,如果是
「0BwOmVtG7WLaM」開頭的資料夾代表文件的截圖畫面,其他均為圖片的截 圖結果(如圖13-6)。
圖 46-6:Google Drive 所有檔案的 thumbnails
(四)在/Library/Application Support/MediaUploaderDB 路徑底下,有一個資料庫檔案 MediaUploader_114685138436259289442.sqlite,在 ZGMUASSET table 內,就會
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
55
有上傳圖片的資料,包含檔名、檔案大小、類型及MD5 與 SHA-1 值(如圖 13-7)。
圖 47-7:Google Drive 上傳圖片的相關資料
(五)在/Library/Caches/com.google.commmon.SSO/114685138436259289442 路徑底下,
有一個plist 檔案,Profile.plist,裡面包含使用者登入的 email 及使用者名稱(如 圖13-8、13-9)。
圖 48-8:Google Drive 的 Profile.plist 內容-登入 email 資訊
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
56
圖 49-9:Google Drive 的 Profile.plist 內容-使用者名稱資料
(六)在/Library/Caches/com.google.Drive 路徑底下有一個 HSTS.plist 檔案,其中包含很 多網站網址的資訊(如圖13-10),例如log 分析、虛擬主機出租或入口網站(yahoo)
等,如同OneDrive 一般,擁有類似資料。
圖 50-10:Google Drive 的 HSTS.plist 內容
(七)在/Library/Caches/Snapshots/com.google.Drive 路徑底下,發現 Google Drive 有對
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
57
手機畫面進行截圖的圖片(如圖13-11)。經多次測試,目前尚未發現Google Drive 有擷取使用者操作其他APP 畫面的圖片,僅有操作 Google Drive 的截圖畫面。
圖 51-11:Google Drive 截圖畫面
(八)在/Library/Caches/Preferences 路徑底下,可發現 com.google.Drive.plist 檔案,開 啟該plist 檔案可以看到目前安裝的 APP 版本及安裝時間、網頁資料庫的儲存路 徑及版本時間等資訊(如圖13-12)。
圖 52-12:Google Drive 安裝版本及時間等資訊
(九)在/tmp 路徑底下的副檔名.tmp 檔案,經把副檔名修正為.jpg 後,可以還原出殘缺 的圖片檔案(如圖13-13)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
58
圖 53-13:Google Drive 的 tmp 檔案還原結果
三、MEGA
利用 iTools 將 MEGA 資料取出後,開啟資料夾進行檢視,發現有 Documents、
Library、StoreKit 及 tmp 等 4 個資料夾,還有一個 plist 檔案(如圖 14-1),以下將針對 所發現之資訊,依序進行說明。
圖 54-1:MEGA 檔案內容
(一)在/Library/Caches/previewsV3 路徑底下發現有數個檔案沒有副檔名,便以 WinHex 開啟其中一個檔案「YHYzFKoZ」,發現檔頭部分有 ÿøÿá 字樣(如圖 14-2),是 屬於 jpg 檔案的檔頭特徵值,所以嘗試給予該檔案副檔名.jpg,並以 windows 內
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
59
建圖片顯示器開啟,發現其為上傳的圖片檔案(如圖 14-3),其他檔案亦為上傳 的圖片檔案。
圖 55-2:MEGA 檔案 YHYzFKoZ 之 JPG 檔頭特徵值資訊
圖 56-3:還原 MEGA 上傳圖片檔案
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
60
(二)在/Library/Caches/Snapshots/mega.ios 路徑底下,發現 MEGA 有對手機畫面進行 截圖的圖片(如圖 14-4)。但並未發現 MEGA 有擷取使用者操作其他 APP 畫面 的圖片,而且 MEGA 在本次實驗所擷取的操作畫面,都是系統初始畫面,未涉 及到儲存內容。
圖 57-4:MEGA 截圖畫面
(三)在/Library/Caches/thumbnailsV3 路徑底下,發現有數個檔案沒有副檔名,便以 WinHex 開啟其中一個檔案「MDZ3TCCI」,沒有副檔名,將他以 WinHex 開啟,
發現檔頭部分有ÿøÿá 字樣(如圖 14-5),是屬於 jpg 檔案的檔頭特徵值,所以嘗 試給予該檔案副檔名.jpg,並以 windows 內建圖片顯示器開啟,雖然可開啟該檔 案,但是卻無法清楚辨識,可能是該檔案為 thumbnail 之緣故。經以相同方式開 啟其他檔案後,發現這些檔案為使用者上傳文件及圖片的 thumbnail 檔案(如圖 14-6)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
61
圖 58-5:MEGA 檔案 MDZ3TCCI 之 JPG 檔頭特徵值資訊
圖 59-6:還原 MEGA 上傳文件之 thumbnail 檔案
(四)在/Library/Preferences 路徑底下有個檔案 mega.ios.plist,裡面可發現有一些關於 MEGA 的設定,例如是否開啟電信通訊,或有無自動上傳影片等(如圖 14-7)。
‧ 國
立 政 治 大 學
‧
N a tio na
l C h engchi U ni ve rs it y
62
圖 60-7:MEGA 相關設定內容
(五)在/tmp/MDZ3TCCI 路徑底下存放著上傳文件的檔案 doc4.pdf(如圖 14-8)。
圖 61-8:MEGA 暫存檔內容