手机双开App隐藏证据　电子取证可明察秋毫

随笔

声音

知识

案例

其他

按

本文作者Pieces0310，本身从事IT工作多年，对找寻线索、发掘真相、解决问题而乐此不疲。这篇文章源于宝岛一起真实的案件，大家就当听故事好了，在故事中寻找提高取证技术的点。

女子陈尸，自杀还是他杀？

一名女子陈尸床上，是自杀还是他杀？案情真相究竟为何？一桩弊案的调查，牵扯出背后盘根错节的政商关系，真能依法办案，还是只敢打苍蝇不敢打老虎？而看似毫不相干的事件，又是如何从细枝末节中找出可能的关联性，详情要从一通报案电话开始说起。

日前警方接获酒店报案，一名女子陈尸在VIP套房床上，警察赶赴案发现场，该名女子年约30多岁（以下简称S女），衣着完整且身体无明显外伤，但疑似出现中毒现象，死亡时间超过12个小时。

现场遗留S女的皮包及手机，警方经初步检查发现，S女手机中的相册居然空空如也，也未发现微信、Whatsapp等社交软件，不禁令人怀疑，貌似有遭到人为销毁证据的迹象。

此时，惊传金管局遭到廉政公署（以下简称ICAC）的大动作搜查，据消息指出应与1年前的巨额超贷案有关。ICAC查扣了大批资料及电脑外，也把金管局连同局长在内的多名高级主管请到署里喝咖啡，看似平静无波的政局，实则暗潮汹涌。

社会瞩目命案未破，舆论压力扑天盖地

S女命案在各大电视台及网络媒体全天候大肆报道的情况下，使得金管局遭到搜索一案并未受到多大的关注，而S女的死因众说纷纭，究竟是自杀或是他杀？是为财还是为情？成了大家茶余饭后的热门八卦讨论话题，甚至还有谣言说S女是某位政府高层的小三，被影射的官员们莫不纷纷躲避媒体追问。

越是受到社会瞩目的案件，破案压力便愈是沉重，S女遗留在现场的手机已火速送达实验室。取证人员采用专业手机取证工具进行提取，由于S女的手机搭载的是MTK芯片，如此一来便有机会化不可能为可能，利用提权的手法获取临时root权限，尽管手机遭到严重破坏，取证人员仍在尚存的痕迹中找到了一些蛛丝马迹，那就是IG的缓存文件，如图1所示。

图1  在尚存的痕迹中找到IG的缓存

警方曾到S女任职的知名跨国金融集团进行了解，专案小组为该集团取了个代号：「Z记」。Z记高层对此案三缄其口，仅表示S女担任公关部经理一职，平常未与人结怨，强调S女之死与公司无任何关联。据知情人士表示，Z记向来十分低调，但其政经实力绝不容小觑，从其历年来曾陆续发生过几次重大违法，却仍能屹立不摇可见一斑。

金管局上下都说局长总是一副扑克牌脸，私底下都管他叫「老K」，此刻老K正在ICAC的接待室里抽着烟，神色泰然自若。老K心中早有盘算，料定ICAC目前尚未取得任何进展，也就没有理由再继续将他及手下留置。果不其然，当天下午老K及其手下们就被告知可以离开了，仅要求留下手机并配合解锁以供调查。老K满不在乎地将手机解锁交出，令在场的干员感到讶异不已，这可与他们原本的预期大相迳庭。在老K座车驶离后，ICAC高层下达指示，派员持续对老K进行跟踪监视。

取证人员从S女手机中的IG缓存文件，查到了为数不少的照片，这些毫无疑问成了重要的调查线索，有待逐一理清过滤。在历经了数天的清查之后，几乎全是S女的日常生活点滴，包括拍美食、旅游美景等等，其中部分照片的Exif信息中可得知拍照地点的经纬度信息，目前尚未从照片内容之中查到进一步线索。

ICAC的取证团队此时也是忙的焦头烂额，老K手下们的手机里未找到什么重要线索，最棘手的是老K的那支才上市没几个月的安卓手机，即便已处于屏幕未锁定的不设防状态，试遍了所有手机取证工具却皆未能奏效。几个加起来价值上百万的顶级取证工具，居然都只能从一支已解锁的手机捞到一丁点的资料，会议室里充斥著长官们的大声咆哮，令专案小组压力倍增。

发现些许端倪，可是重要证据在哪里？

数天之后，S女的手机送到了R的面前，在了解案况及检验现有发现之后，令R好奇的是，照片里要么是S女跟三五好友合照，要么就是美食、美景，但从S女家属透露的信息却显示S女身边应是有护花使者才是，但照片中却毫无所悉。R决定从部分带有Exif信息的照片下手。

从这张饭店房间内的照片，看不出有任何可疑之处，但Exif信息已明白透露了地理位置信息及时间点，如图2所示，R查询了当时在该饭店举办的所有活动，看看有何值得留意之处。

图2  从Exif信息可清楚得知地理位置信息及时间点

另一方面，R持续对S女的手机进行取证工作，此时一个代号为「JPx」的App引起了R的注意，它可用来存取颇受欢迎的老牌社区平台（代号为Pxx），如图3所示。接着，R提取了JPx的主要配置文件，赫然发现使用者登录帐号及密码就在其中，如图4所示。

图3  发现代号为「JPx」的App可用来存取颇受欢迎的老牌社交平台

图4  提取JPx的主要配置文件后，发现了使用者的登录帐号及密码

R利用这一组帐密进一步调查，便有效掌握了S女以该帐号于Pxx平台所进行的活动历程。而该帐号的注册信息明显与S女本人无关，研判S女应是以买来的帐号在该平台活动。R发现当中有不少为Z记擦脂抺粉的文章外，甚至还有为金管局政策措施辩护，以及吹捧老K政绩的风向文。若再对照前述清查S女曾入住过的饭店的活动举办状况，当中确有多场是与金融相关的研讨会，除邀集国内外专家学者与会之外，金管局局长皆有受邀莅临。若将这些信息串连在一起，老K与S女之间可能还有某种交集也说不定。

此时关键便是在老K身上了，巧合的是，老K那支安卓新机也送到了R的面前。ICAC取证团队所面临的困境R也是清楚的，安卓高版本手机的取证愈来愈不容易，更何况是刚上市不久的新机，对取证工具的研发团队来说，自然也是要花上些时间才能研究出取证手法，因此新近上市手机的取证空窗期必然是存在的。

ICAC高层认为既然要讲求科学证据办案，在未能取得相关证据的情况之下，自然也就无法证明老K有为Z记护航或收贿等情节。警方虽也怀疑S女的命案可能与老K有关，但也苦于并无进一步的线索。正当ICAC与警方组成的联合调查专案小组打算将此案结案之际，传出R已顺利地破解老K的手机，取得WhatsApp关键对话内容的好消息。

真相终于大白清楚还原事发经过

专案小组喜出望外，便再度将老K带回讯问，当出示所取出的关键对话内容时，老K顿时面如死灰，心理防线彻底崩溃，便娓娓道来案发当晚详情。老K与S女起初因公事而相识，渐渐地互有好感，进而发展成地下恋情，每次幽会时老K皆会乔装打扮以免遭狗仔跟拍。

案发当晚，S女在饭店房内等老K到来，老K却姗姗来迟，加上S女认为老K似乎变心了，不再像过去那样爱她，S女因此长期陷入严重的忧愤而无法自拔。当晚两人再度因此起了严重口角，老K甚至说出以后不再见面，要S女不要再纠缠他的话。

S女顿时伤透了心，便趁老K淋浴之际，吞下毒药企图寻死，当老K步出浴室时，眼看S女倒卧床上没有了呼吸，便慌了手脚，心里只想着绝不能让此事曝光毁了前程。此时，老K心一横便拿起S女的手机进行破坏，然后迅速离开。

案情至此已完全明朗，虽然S女不是遭老K杀害，但老K坦诚确有收受Z记的贿款及渎职等行为，全案总算宣告侦破，老K遭到检方起诉求以重刑。但专案小组还有一事尚待理清，令他们百思不解的是，何以上百万的取证工具办不到的事，R却办到了呢？

R笑着说道，当执法人员要求嫌疑人配合解锁时，往往愈是心里有鬼的人，愈会想尽办法找各种借口拒不配合。至于老K呢？尽管脸上表情明显不悦，但仍配合解锁以示其坦荡接受调查，的确颇出人意料之外，但这就更意味着要十分谨慎小心，老K当时嘴角不经意扬起的笑意似是在嘲笑着能奈他何。

应用双开App很可疑，雾霾散去曙光乍现

取证工具毫无所获，并不代表老K的手机就真的全然没有任何相关痕迹，或许老K可能早就做好了反取证的准备。R仔细检查着老K的手机，突然一个应用程序引起了R的注意，一个名为Dr.Clone的国外App，如图5所示。

图5  发现一个名为Dr.Clone的App

R便点击执行该App（编者注：随意点击执行，可不是什么好习惯），不料一个要求解锁的界面映入眼帘，如图6所示，真是此地无银三白两，R心想不愧是老K，果然城府深沉，不仅深谙手机取证工具仅支持常见应用程序的盲点，更运用App本身设定的密码保护机制以确保只有自己能运行读取。那么这个Dr.Clone里究竟隐藏了什麽秘密呢？

图6  点击执行该App后出现要求解锁的画面

一查发现它竟是个应用双开的App，R拿了支测试机以LINE为例进行说明，手机之中原就装了一个LINE，当使用了Dr.Clone，如图7所示，便可再开一个分身的LINE，且本尊与分身的LINE可同时并存。若是本尊LINE用于正常社交，而分身LINE用于从事不法行为，这样一来是不易被察觉的。

图7  使用Dr.Clone，便可再开一个分身的App，且本尊与分身的App可同时并存

借allowBackup备出证据找出最后一块拼图

同时，老K利用Dr.Clone可设定密码锁或图形锁的机制，自然是希望除了他本人以外不会有其他人可存取他双开的App，他也料定取证工具对付不了他的手机，这便是老K有恃无恐的原因所在。

即便如此也不应轻言放弃，R突然灵光一闪，想起安卓平台上的App有一个特性可加以利用，关键就在于Dr.Clone的「allowBackup属性」。

经检查Dr.Clone的主要配置文件后，发现该属性值为「true」（如图8中底线处所示），这下子要取出Dr.Clone里分身App的资料便犹如探囊取物了。

图8  检查Dr.Clone的主要配置文件后发现该属性值为「true」

之所以可以如此达成取证效果的原因在于，安卓平台上的App可借由属性「allowBackup」的设定值，来决定是否能够被系统备份机制将资料备出。

事不宜迟，R便以ADB指令对Dr.Clone这支App进行备份，得到如图9所示的扩展名为.ab的备份文件，再将其进行转换以得到如图10所示的tar包，解开后便可得到完整的文件夹及文件。

图9  得到扩展名为.ab的备份文件

图10  进行转换后得到一个tar包

皇天不负苦心人，R果然在其中找到了WhatsApp的资料库档案，其路径如图11所示，经以工具进行检查可顺利查得聊天内容，如图12所示。

图11  找到WhatsApp的资料库档案

图12  以工具进行检查后，最终顺利找到聊天内容

结语

电子取证是一门严谨的科学，取证人员须善用工具而不过份依赖工具。当取证工具力有未逮之时，切莫轻言放弃，取证人员更要冷静沉着，愈是能够掌握事物的特性，愈有可能突破重重取证难关，在错综复杂的案情中觅得破案契机。

【编者注】Dr.Clone，小编还没用过

原文始发于微信公众号（信息时代的犯罪侦查）：手机双开App隐藏证据　电子取证可明察秋毫