以開源軟體對通訊軟體-LINE之鑑識分析

Abstract

隨著Android平台手機的使用越來越普及，嫌犯使用Android手機做為犯罪工具的情況也越來越多。Android平台手機鑑識主要在探討手機內對偵查有幫助的資料。在現階段行動通訊軟體普及的情況下，不管是罪犯或是受害者都有很大的機會使用行動通訊軟體。在這個研究中，著重在熱門行動通訊軟體-LINE，並以幫助鑑識人員做為動機，希望透過了解LINE內部資料結構與存放位置，進而從LINE上找尋出對有用的證據。本文探討兩大關鍵資料可能的所在地，分別是儲存裝置(NAND flash)與記憶體(RAM)，除此之外，透過記憶體分析的結果呈現了LINE資料庫部分欄位的加密方式，應用記憶體分析的結果我們實作出一個解密工具，其解密對象為LINE資料庫中的加密欄位，透過此工具將可幫助鑑識人員迅速解密出有用的資料，例如：LINE內部鎖密碼與LINE註冊用的手機號碼等。

Android forensics deals with the investigation of evidences found on Android devices. Instant messaging applications are ubiquitous in mobile devices, which allow users to exchange instant messages, files, and images. In this study, we focus on one such instant messenger called 'LINE', a popular social communication application. The aim of this work is to help analysts determine the data and information that can be found in LINE. Our focus is on the extraction and analysis of valuable data in both the external storage and the volatile memory (RAM) on Android devices. We develop an online tool to help analysts decrypt valuable information from the encrypted LINE database.