Abstract
Instant messaging applications continue to grow in popularity as a means of communicating and sharing multimedia files. The information contained within these applications can prove invaluable to law enforcement in the investigation of crimes.
Kik messenger is a recently introduced instant messaging application that has become very popular in a short period of time, especially among young users. The novelty of Kik means that there has been little forensic examination conducted on this application.
This study addresses this issue by investigating Kik messenger on Apple iOS devices. The goal was to locate and document artefacts created or modified by Kik messenger on devices installed with the latest version of iOS, as well as in iTunes backup files. Once achieved, the secondary goal was to analyse the artefacts to decode and interpret their meaning and by doing so, be able to answer the typical questions faced by forensic investigators.
A detailed description of artefacts created or modified by Kik messenger is provided. Results from experiments showed that deleted images are not only recoverable from the device, but can also be located and downloaded from Kik servers. A process to link data from multiple database tables producing accurate chat histories is explained. These outcomes can be used by law enforcement to investigate crimes and by software developers to create tools to recover evidence.
Keywords
- Kik; Instant messaging; iOS; Mobile device forensics; Apple
Introduction
Instant messaging is not new; in fact, it has been claimed to be older than the Internet itself (Van Vleck, 2012). The popularity of messaging applications grew in the 1990s when graphical user interfaces replaced text-based interfaces. At that time, the popular applications included AOL Instant Messenger, ICQ and Yahoo! Messenger.
What is relatively novel is the popularity they have gained on the mobile platform. Just as smartphones and tablets overtake laptops and personal computers as the most popular method of accessing the Internet, instant messaging applications are significantly gaining ground on traditional phone calls and text messaging as the favoured means of communication, especially for the younger generation (Ofcom, 2015).
There are now billions of instant messaging user accounts; currently the most popular applications include WhatsApp, Facebook Messenger, Skype, and Viber. A more recent addition to instant messaging, and one that is especially popular among younger users, is the application, Kik. Launched in 2010, Kiks user base has currently grown to over 200 million, including 40% of American youth, according to the developers website (Kik, 2015b).
As Kik has grown in popularity, crimes that have in some way involved the application, have also increased, particularly crimes that involve bullying and child abuse (Alvarez, 2013, Federal Bureau of Investigation, 2015 and Zauzmer, 2014). These types of crimes are not unique to Kik, but weak user identification, no age verification, as well as users perceived anonymity, may be combining to create user behaviours that are of concern to law enforcement (Godfrey, 2013 and Larson, 2015).
During registration of a new account, the user is prompted to submit a first and last name, a unique username, email address, password, and a date of birth. However, there is no requirement to link a mobile phone number and failure to verify the email address does not prohibit the user sending messages. In comparison to registering a new account with Facebook, where it is a requirement to use your real name, if email addresses are not verified, the accounts cannot continue to be used. New account registrations for WhatsApp and Viber require phone numbers to be linked and verified. While it is not too difficult for a determined person to bypass these verification steps, there is little effort required to bypass Kiks verification procedures and age restrictions. Kik states that users are required to be at least thirteen years old, as this also is not verified, it is very easy for younger users to enter a fake date of birth and begin communicating immediately (Kik, 2015c).
What will be of further concern to law enforcement, is that Kik do not store and cannot retrieve any sent or received messages (Kik, 2015a). It is therefore crucial that forensic examiners are able to obtain as much information as possible from recovered mobile devices to aid investigations. While there has been a growing body of research concerning the more established instant messaging applications, to date, there is a distinct lack of detailed forensic investigation focused on Kik messenger.
The situation prompts this study into the identification, recovery, and analysis of artefacts relating to the usage of Kik messenger. This study provides the first detailed forensic analysis of Kik on Apple iOS devices. Other platforms on which Kik can be installed (Android, Windows, Amazon) are outside the scope of this study and are left for future work. Preconditions to accessing these artefacts are that the iOS device is not password locked and the investigator has access to unencrypted backup files.
The following proposed questions, common to forensic examinations, are the focus of this study:
1.
Who has the user been communicating with and when?
2.
What was the content of the communications?
3.
What attachments were exchanged and where can they be found?
The study was conducted using tools that are freely available to practitioners. The results were used to develop open-source software that can be used to extract and present Kik artefacts, and can likewise be used by other software developers to create more forensic tools that can accurately retrieve relevant data. It also contributes to the documentation and analysis of artefacts created by Kik messen
剩余内容已隐藏,支付完成后下载完整资料
摘要
即时消息应用程序作为通信和共享多媒体文件的手段继续增长。 这些申请中所包含的信息在执法调查犯罪行为中是非常有价值的。
Kik messenger是最近推出的即时通讯应用程序,在短时间内变得非常受欢迎,特别是在年轻用户中。 Kik的新奇意味着在这个应用上进行了很少的法医检查。
本研究通过调查Apple iOS设备上的Kik messenger来解决这个问题。目标是找到并记录由Kik messenger创建或修改的装置在装有最新版本的iOS以及iTunes备份文件的设备上的文物。一旦实现,次要目标是分析文物来解释和解释其意义,并通过这样做,能够回答法医调查员面临的典型问题。
提供了由Kik messenger创建或修改的人工制品的详细描述。实验结果表明,删除的图像不仅可以从设备中恢复,而且还可以从Kik服务器定位和下载。解释了从产生准确聊天历史的多个数据库表中链接数据的过程。执法机构可以使用这些结果来调查犯罪行为,并由软件开发人员创建恢复证据的工具。
关键词
即时通讯; iOS; 移动设备取证; 苹果
介绍
即时通讯并不新鲜;事实上,它已被宣称比互联网本身更老(Van Vleck,2012)。 20世纪90年代,消费应用程序的普及越来越多,图形用户界面取代了基于文本的界面。当时流行的应用包括AOL Instant Messenger,ICQ和Yahoo! Messenger。
比较新颖的是他们在移动平台上获得的普及。就像智能手机和平板电脑超越笔记本电脑和个人电脑一样,最流行的访问互联网的方式,即时通讯应用程序在传统电话和短信上显着地成为通信手段,特别是对于年轻一代(Ofcom,2015) )。
现在有数十亿的即时通讯用户帐号;目前最受欢迎的应用包括WhatsApp,Facebook Messenger,Skype和Viber。应用程序Kik是即时消息的最新补充,而在年轻用户中尤其受欢迎。根据开发商网站(Kik,2015b),2010年推出的Kik用户群已经增长到超过2亿,其中40%是美国青年。
随着Kik越来越受欢迎,在某种程度上涉及应用的罪行也有所增加,特别是涉及欺凌和虐待儿童的罪行(阿尔瓦雷斯,2013年,联邦调查局局局局局长,2014年和Zauzmer,2014年)。这些类型的犯罪并不是Kik所独有的,但用户识别不力,年龄验证以及用户匿名的用户可能会合并,以创建执法关注的用户行为(Godfrey,2013和Larson,2015)。
在注册新帐户时,系统将提示用户提交姓名,唯一用户名,电子邮件地址,密码和出生日期。然而,不需要链接手机号码和故障,以验证电子邮件地址不禁止用户发送消息。与在Facebook上注册新帐户相比,如果电子邮件地址未被验证,则需要使用您的真实姓名,帐户不能继续使用。 WhatsApp和Viber的新帐户注册要求联系和验证电话号码。虽然确定的人员绕过这些验证步骤并不困难,但是,为避免Kik的验证程序和年龄限制,几乎没有必要的努力。 Kik表示,用户必须至少十三岁,因为这也没有被验证,年轻的用户很容易进入假的出生日期并立即开始沟通(Kik,2015c)。
执法方面进一步关注的是,Kik不存储和无法检索任何发送或接收的消息(Kik,2015a)。因此,法医检查员能够从恢复的移动设备获得尽可能多的信息来辅助调查是至关重要的。尽管越来越多的关于更为成熟的即时通讯应用程序的研究越来越多,迄今为止,还没有详细的法医调查集中在Kik信使。
这种情况促使这项研究涉及与使用Kik信使有关的文物的识别,恢复和分析。本研究为Apple iOS设备上的Kik提供了首个详细的法医分析。可以安装Kik的其他平台(Android,Windows,Amazon)不在本研究的范围之内,可供将来使用。访问这些伪影的前提条件是iOS设备没有密码锁定,调查员可以访问未加密的备份文件。
以下提出的法医考试常见问题是本研究的重点:
1。
用户与谁进行沟通?
2。
通信的内容是什么?
3。
什么附件交换了,他们在哪里可以找到?
该研究是使用免费提供给实践者的工具进行的。结果用于开发可用于提取和呈现Kik伪影的开源软件,同样可以由其他软件开发人员使用来创建更准确的检索相关数据的法医工具。它也有助于记录和分析由Kik messenger创造的文物,在调查中使执法受益。
本文的其余部分结构如下:部分相关工作概述了对即时消息应用程序的研究,并讨论了用于从iOS设备获取数据的方法。 Section Methodology介绍了为解决法医调查中出现的典型问题而进行的实验。部分Kik messenger的法医分析报告了实验的结果和分析。最后,结论和未来工作从研究中得出结论,并提出未来研究的途径。
相关工作
已经提供了每项研究的研究方法,限制和结论的简要总结。
移动设备的早期即时消息研究专注于当时流行的应用。 Husain和Sridhar(2010)从三个应用程序中审查了人工制品:AIM,Yahoo!和Google Talk。使用有限的数据集(每个应用程序的两个消息),作者找到了可能具有证据价值的人工制品。这是通过搜索具有2.2.1的固件版本(稍后称为iOS)的iPhone 3G的备份文件来实现的。备份文件由Apple的移动设备管理应用程序iTunes生成。
Bader和Baggili(2010)对iTunes备份数据进行了更全面的检查,以确定可以恢复哪些法医价值的数据。研究人员通过安装了固件版本3.1.2的iPhone 3GS的备份文件进行手动搜索,并使用诸如“grep”和“find”之类的命令行工具来定位各种类型的数据。然后将iTunes备份文件与位于iPhone上的原始文件进行匹配。这项研究是有用的,可以应用于任何由iTunes备份的应用程序的研究。
Al Mutawa等人(2012)研究了也提供即时通讯功能的社交网络应用程序,即Facebook,MySpace和Twitter。所检测的设备是iPhone 4(iOS 4.3.3),Android和BlackBerry手机。用于研究的方法包括在设备上安装社交网络应用程序,执行常见的用户活动,然后在进行手动分析之前获取每个设备的逻辑映像。对于iOS设备,研究人员使用iTunes应用程序获取用户文件的备份。从此,他们能够提取与社交网络应用有关的文物。
Tso等人(2012)还专注于检查社交网络应用程序,并选择当时最受欢迎的应用程序,即Facebook Chat,Viber,Skype,WhatsApp和Windows Live Messenger。作为研究的理由之一的原因之一是,应用程序提供了犯罪分子使用的即时和方便的信息传输。研究人员检查了安装了iOS 4.3.5的iPhone 4。再次,iTunes备份应用程序被用来获取相关的人工制品。
Sgaras等人(2015年)还强调了犯罪分子正在使用即时通讯应用程序日益增加的关切,与受害者进行沟通或回避检测。研究人员建议,已发表的研究主要集中在Android设备上,而iOS设备尚未被广泛检查。使用商业工具,即Cellebrites UFED(通用法医提取设备),用于从iPhone(iOS 6.1.3)和Android设备上的消息传递应用程序WhatsApp,Viber,Skype和Tango中提取和分类数据。
比较研究时可用的各种数据提取方法,Hay et al。 (2011)得出结论,为了对iOS设备进行全面检查,需要进行越狱和手动分析。这种方法引起了越来越多关注在越狱过程中对设备的变化(Husain等,2011和Piccinelli和Gubian,2011)。然而,最初可以使用它来通过观察使用应用程序的数据的创建和修改来获得对Kik messenger的力学的理解。
与数字取证的大多数研究一样,这些研究主要集中在从设备中取得数据的法医采集中,较少强调对数据的分析和解释。已经研究了如何将恢复的数据解释和应用于刑事调查的研究包括Levinson等人(2011)。这项研究使用了一个模拟场景,其中在iOS设备上发现的Facebook聊天文物在警察调查中提供了重要证据。
Anglano(2014)提供了另一项重点解释恢复的即时消息数据的研究。研究人员在安装在虚拟环境中的Android操作系统上检查了WhatsApp Messenger应用程序。除了记录数据库和日志文件的位置外,还分析了这些文物,以便详细说明不同来源的数据如何与推断意义相关联。虽然该研究是基于与本研究中使用的移动平台和消息应用程序不同的移动平台和消息应用程序,但是对于人为因素分析和解释的重点非常重要。
在Kik发布一年之后,Hoog和Strzempka(2011)在iOS 3.1.3和4.0中简要介绍了iPhone上安装的Kik文物。在这项研究的时候,主要的Kik数据库只有四个表(现在已经增长到十六个),研究人员报告说,用户密码是在未加密存储的设备上找到的。
Walnycky等人最近进行了一项研究。 (2015)。研究人员采用了一种新颖的方法来获取相关的移动数据,建立了一个“中间人”攻击来拦截消息应用流量。实验中共使用了二十种流行的即时通讯应用程序,包括Kik messenger。与Kik相关的结果显示,有关网络流量,涉及草图(电子图纸)的共享被发现是未加密的,可以被捕获在运输中。该研究强调了对大部分消息传递应用程序的进一步的隐私关注。然而,正如在高水平和广泛的研究中所预期的那样,它没有详细地探索Kik数据库或其他相关的文物。
有关Kik iOS法医研究在线发表的各种文章和博客。这些文章主要是关于如何使用正在推广的商业工具(Magnet Forensics,2014,Timofeev et al。,2015,Manon,2015 and Sanderson,2015)的Kik文物或教程的简要概述。其他文章来自教育机构,讨论法医课程(计算机与数字取证博客,2015年)的产出和描述具体案例的行业从业者(“Bridgey the Geek”,2013年)。特别值得注意的是,最后一篇文章被作者描述为“正在进行中”。它旨在识别商业工具没有的文物。虽然这项研究是不完整的,现在已经过时了(iOS和Kik都修改了它们的文件结构,但新的表格已被添加到主数据库中,标志结构已经改变,并且更多的功能被添加到应用程序中),它提供了对Kik messenger的工作原理,并帮助定义了数据库中使用的各种标志,其中一些仍然适用于最新版本的Kik。
这项研究建立在以前研究人员和从业者的努力的基础上,将专注于iOS设备上的Kik Messenger,以提供详细的,最新的Kik文物描述,位置和解释以及如何解析的实用指南数据库以提供用户对话的人类可读的重建。
方法
本研究的主要目的是识别,定位和分析由Kik信使申请修改或创建的人工制品,以回答法医调查人员解决犯罪行为所面临的典型问题。
本研究的目标是通过在iOS设备上使用Kik messenger进行一组对照实验,模拟特定用户场景:一对一聊天,群组通信,图像和视频交换等。实现之后,相关数据被复制到法医工作站进行手动分析。
访问iOS文件系统需要观察在使用Kik应用程序期间正在创建和修改的文件。这意味着需要进行全面的手动检查,其中两个iOS设备被越狱,以绕过苹果对iOS文件系统的访问限制。
越狱是一个允许用户安装和执行尚未被Apple批准的应用程序的过程。研究人员需要这些应用程序才能访问具有完全交互式shell的iOS设备,并查询文件系统以观察在Kik应用程序中发生的更改。
分析显示哪些Kik文物具有潜在的法医感兴趣,第三个iOS设备的备份是使用iTunes进行的。这样做是为了确保法医调查员可以获得相同类型的人工制品,而无需越狱。
实验分为三个主要阶段:第一阶段包括准备iOS设备。执行iOS设备的工厂重置以擦除所有以前的内容和设置。 iOS 9.02在越狱两个设备之前安装,并安装软件包管理器Cydia以及表1中详细列出的各种文件系统工具.Kik messenger从App Store下载并安装在所有三个iOS设备中。为每个设备创建了新的用户帐户。
第二阶段涉及查询越狱iOS设备,以识别在第一步之后创建或修改的人为因素。查询文件系统以使用以下Unix find命令来识别新创建或修改的文件:
该命令被分解并解释如下:
bull;bull;
find - 搜索
bull;bull;
/ - 从文件系统的根目录
bull;bull;
-type f - 用于常规文件
bull;bull;
-mmin -2 - 在过去2分钟内修改过
bull;bull;
gt; kikFiles.txt - 将输出重定向到文本文档
这种查询不可避免地产生了许多假阳性,因为还有运行不间断的非相关后台进程。通过在不同时间重复进程,在执行消息交换,监控网络活动和手动检查和过滤非相关数据之前不使用其他应用程序,减少了误报。
然后将相关文件散列并复制到法医工作站进行进一步分析。每次互动后,重复此步骤,以便识别对文件系统所做的更改。交互的类型包括:搜索朋友和组以发起聊天,发送和接收用户和组的消息,发送和接收图像和视频。
有时,例如,当尝试识别消息状态的变化时,分析将发生在iOS设备上。系统地使用sqlite3从命令行的源头系统地查询相关数据库,以监视指示在离开设备并将其传递给收件人时邮件进度的更改标志。
第三个也是最后一个阶段是手工分析文物。首先从文件中重新进行散列,以确认它们在转换过程中未被修改。分析技术包括文件识别,字符串搜索,过滤
剩余内容已隐藏,支付完成后下载完整资料
资料编号:[137781],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
您可能感兴趣的文章
- 为非政府组织OG慈善基金会设计的基于社区的救灾管理系统外文翻译资料
- 基于UML建模的医疗系统电子健康服务软件外文翻译资料
- 开发一种具有增强现实功能的智能手机应用程序, 以支持护理学生对心衰的虚拟学习外文翻译资料
- 在开发 Web 应用程序中应用 Vue.JS 框架外文翻译资料
- 基于MES系统的生产车间信息管理研究外文翻译资料
- 基于Vue.js和MySQL的电子商务平台的设计与实现外文翻译资料
- 详细的Spring配置和SpringBoot外文翻译资料
- 基于NS2的DSR和AODV协议的性能比较研究外文翻译资料
- 不同仿真参数下NS2的TCP吞吐量性能外文翻译资料
- 基于Spring Boot和VUE的车辆管理系统实现外文翻译资料
