嫌犯已將聯絡人資訊刪除!

確認嫌犯手機上的聯絡人清單總是充滿著挑戰,鑑識人員在資料提取時可能會面臨到嫌犯蓄意刪除聯絡人與通聯紀錄等資料。因為有著這些變數,如何透過符合科學鑑識的方式(Forensically Sound)找出被刪除資訊,並提交數位證據給法庭當作審判的重要環節。

這個提供另一個方式給各位參考,從iOS驗證Apple User ID的plist紀錄上去著手。檔案名稱與位置如下

當嫌犯第一次使用Facetime或iMessage與他人聯繫時,iOS會透過Apple伺服器來驗證對方的Apple ID。這個過程對方的電話號碼或電子郵件資料會被記錄在plist檔案裡,也包括第一次聯絡的時間點。而這筆plist資料用戶是看不到的,當然也無法從手機刪除。

圖一、原始檔案的內容範例

圖二、Analyzed Data/Log Entries/Identity Lookup Service,有排版好的閱讀介面

圖三、第一次撥打Facetime Audio時,iOS驗證對方的email紀錄

對於檢調過程,這筆可能是重要的數位證據,至少可以取得嫌犯連絡過的對象的Apple ID,溝通類型與第一次通訊的時間點。必須提醒的是,這筆紀錄僅會出現一次,但因為溝通類型有三種,Facetime Audio、Video與iMessage,所以一個Apple ID最多會出現三次紀錄。

所以即使嫌犯將聯絡人資料刪除,這個與Apple Server驗證用的plist檔案還是可以得到淺在性的證據,說不定是破案的關鍵。

註:該筆資料僅確認了嫌犯的手機有進行了對方的Apple ID身份驗證,但並不意味著發生了對話或實際發送了簡訊。有可能的情況是嫌犯在iMessage的收件人上輸入的對方的email或電話號碼,但訊息只打了一半並未送出,這個情況plist還是會記錄該筆身分驗證資料,