Signal即时通讯应用取证分析

# Signal即时通讯应用取证分析 ## 1. 权限与消息设置 ### 1.1 权限 - 允许访问麦克风 - 允许访问摄像头 ### 1.2 消息消失设置 新聊天的默认计时器为5分钟（同步）。 ## 2. 测试数据的安卓数字取证采集 与iOS测试类似，进行了正式的数字取证采集以从测试设备中提取数据。不过，与物理设备的取证采集相比，虚拟机采集过程有所不同。 - Android BlueStacks的VDI格式虚拟磁盘映像可在系统路径C:\ProgramData\BlueStacks_nxt\Engine中找到，这些映像将用于进一步的取证分析。 - 在Ubuntu虚拟环境中打开Signal Linux应用时，会创建一个VMEM格式的快照文件。同时，收集VMDK格式的虚拟内存映像和虚拟磁盘映像用于进一步的取证分析。 ## 3. 取证分析 ### 3.1 软件使用 - 使用Oxygen Forensic Detective创建iOS设备的iTunes逻辑备份和完整文件系统提取。 - 使用Cellebrite UFED Touch 2对Bob的iPhone X进行完整文件系统提取。由于Signal Foundation声称Cellebrite UFED存在安全漏洞，可能影响数字取证采集过程的完整性，因此主要使用Oxygen Forensic Detective作为移动取证软件，但也使用Cellebrite产品进行交叉验证。 - 移动取证映像创建后，导入Oxygen Forensic Detective进行取证分析。使用Cellebrite UFED Touch 2创建的完整文件系统提取将导入Cellebrite Physical Analyzer进行比较分析。 - Alice的Windows 10和Bob的MacBook Pro的取证映像和内存捕获由Magnet AXIOM处理。从BlueStacks和VMWare Workstation Pro收集的虚拟内存和磁盘映像也由Magnet AXIOM处理。 ### 3.2 分析阶段 分析阶段包括自动分析、数据库审查和手动分析三个部分： | 分析阶段 | 具体内容 | | ---- | ---- | | 自动分析 | 依靠商业数字取证软件解析取证映像中的数据并提取已删除的数据，审查取证软件提供的分析结果。这通常是实际调查中数字取证分析的第一步，可提供直接信息和数据聚合，节省手动分析的时间和精力。 | | 数据库审查 | 审查Signal数据库结构，了解在设备文件系统中定位Signal应用数据的位置，以及从Signal数据库中可找到哪些工件以及如何处理已删除的数据。 | | 手动分析 | 作为取证分析的最后阶段，调查人员对前两个步骤中确定的特定数字工件进行深入分析。 | ### 3.3 取证分析流程 ```mermaid graph LR A[创建取证映像] --> B[导入Oxygen Forensic Detective分析] C[Cellebrite UFED Touch 2提取] --> D[导入Cellebrite Physical Analyzer比较分析] E[Alice Windows 10和Bob MacBook Pro取证] --> F[Magnet AXIOM处理] G[BlueStacks和VMWare Workstation Pro数据] --> F B --> H[自动分析] H --> I[数据库审查] I --> J[手动分析] ``` ## 4. 调查结果与讨论 ### 4.1 Signal账户接管 #### 4.1.1 测试场景1：目标手机启用Signal注册锁定 - 在Bob的iPhone X上创建新的Signal账户并启用注册锁定功能。假设数字取证调查人员获得了用户定义的PIN码。 - 在虚拟Android设备Bob Samsung Galaxy S20 Ultra上，使用与Bob iPhone X上相同的号码发起新的Signal账户注册。输入获得的PIN码后，成功创建新账户。 - 但不久后，Bob iPhone X会收到通知，称该手机不再注册，因为该电话号码已在另一台设备上注册Signal。被注销的设备将无法再发送或接收新的Signal消息。目标可能会通过在原设备上使用相同的PIN码重新注册账户来夺回账户，并创建新的PIN码以阻止调查人员进一步尝试。在更糟的情况下，目标可能会删除Signal账户。因此，接管启用注册锁定的Signal账户风险高且成功率低。理论上，调查人员可扣押目标的移动设备，等待七天（PIN码七天不活动会过期）后接管账户，但如果设备不受控制，目标可轻松注销Signal。 #### 4.1.2 测试场景2：目标手机禁用Signal注册锁定 - 注册锁定禁用时，在Bob Samsung Galaxy S20 Ultra上使用与Bob iPhone X相同的号码注册新的Signal账户时，仍会要求输入PIN码，但可跳过验证。 - 跳过验证时，需创建新的PIN码覆盖之前的PIN码。输入并确认新PIN码后，Bob iPhone X仍会收到设备已注销的通知，目标也会收到相同通知。目标可点击通知重新注册Signal并创建新PIN码夺回账户。 - 这表明Signal的注册锁定机制仍是调查人员在不通知目标的情况下接管账户的障碍。一旦目标收到警告，可能会开始删除Signal数据或放弃电话号码。因此，接管Signal账户应格外谨慎，仅作为最后手段。 ### 4.2 使用关联设备监控Signal活动 #### 4.2.1 设备关联 - 安装了相应Signal客户端的计算机可与一台且仅一台安装了Signal的移动手机关联。启动Signal Windows或Mac客户端时，会生成一个QR码，使用手机摄像头扫描该QR码可关联计算机和移动设备。 - Signal用户可在“关联设备”列表中查看所有关联设备，可从列表中移除现有关联设备，关联设备上的Signal客户端会收到通知。关联关系一段时间后需通过扫描新的QR码更新，这是调查人员监控目标Signal活动和接收实时消息的主要障碍，但关联设备仍是法医检查目标数字活动的有用选项。 #### 4.2.2 监控方式 调查人员可通过以下方式监控目标的Signal活动： - 扣押现有关联设备 - 定期扫描QR码 #### 4.2.3 消息同步情况 - 文本、音频和视频消息会同步到Signal Windows、macOS或Linux客户端，但音频和视频通话不会同步到关联设备，反之亦然（不同设备型号可能有所不同）。 - 桌面端的Signal客户端与WhatsApp Web类似，不会自动将共享媒体下载并保存到本地磁盘，而是在每个共享媒体旁边提供一个下载选项。因此，调查人员通过关联设备监控Signal活动时，需要手动保存所需媒体，且此操作不会在目标手机上通知。此外，Signal桌面客户端可能不会将消息和共享媒体存储在数据库中，除非手动保存到本地。 总体而言，通过关联设备监控实时Signal通信在实际调查中是一种选择，但目标可能会意识到被扣押的关联设备并移除关联，而定期让目标手机扫描Signal桌面客户端生成的QR码是最困难的步骤。 ### 4.3 Signal群组聊天 #### 4.3.1 群组创建 在虚拟Android设备Claire Samsung S10上创建新的Signal账户，然后创建一个名为SignalTest的Signal群组。创建群组时可选择将现有Signal联系人加入群组，但测试中跳过此步骤，仅由群组创建者创建群组。默认情况下，创建群组的Signal用户被分配为群组管理员角色。 #### 4.3.2 群组邀请机制 Signal要求群组创建者启用并共享新创建群组的链接，这是邀请朋友加入现有群组的机制。启用群组链接共享时，有“批准新成员”选项： - 若禁用该选项，Signal提供四种共享群组链接的方式：通过Signal消息共享群组链接（URL）、生成群组链接的QR码并邀请朋友扫描、通过第三方应用（如电子邮件）共享群组链接、复制群组链接进行手动共享。 - 作者使用Bob的iPhone X扫描Claire Samsung S10上生成的群组QR码，确认后加入SignalTest群组。 - 另一个虚拟Android设备Joe Samsung Galaxy S20 Ultra通过手动复制粘贴收到SignalTest群组链接并加入群组。 - 尽管无需明确批准过程，但所有群组成员都会收到新用户通过群组链接加入的通知。调查人员加入目标Signal群组接收实时群聊时，该通知可能会提醒目标有可疑成员加入，但如果群组成员众多且活跃度高，通知可能会被新消息淹没，因此监控Signal群组聊天在实际调查中仍有用。 - 所有群组成员可从Signal群组设置中查看成员列表并查看其他成员的个人资料详细信息，这可为进一步的开源情报（OSINT）调查提供有价值的证据。群组管理员还可移除群组成员、将其他成员设为管理员、将成员添加到其他群组以及将成员添加为联系人。 - 若启用“批准新成员”选项： - 首先在Claire Samsung S10的可共享链接设置中启用该选项，然后将群组链接复制粘贴到Bob的iPhone X并点击请求加入SignalTest群组，Claire Samsung S10作为群组管理员会收到待批准通知，只有管理员能查看该通知。 - 管理员点击通知后，Signal会将其重定向到批准或拒绝待处理请求的界面。Claire批准了Bob的请求，Bob加入群组。 - Bob加入后，修改群组权限，将添加新成员的权限从仅管理员扩展到所有群组成员。应用后，新的加入请求会导致所有群组成员可见的待处理请求通知提醒。邀请朋友选项仍仅对群组管理员可用，但群组成员可在群组设置中复制群组链接并进一步共享。在群组设置中，只有群组管理员Claire有权批准Joe的请求，当Bob被设为管理员后，他可以批准Joe的请求。因此，批准过程会覆盖所有现有成员添加新成员的权限。 ### 4.4 将Signal用作开源情报（OSINT）来源 #### 4.4.1 通过手机号码搜索Signal账户 - 按电话号码搜索联系人的功能可用于OSINT调查。若调查人员有多个待调查的电话号码，可在Signal中搜索这些号码，查看是否有Signal账户与该电话号码关联。 - 值得注意的是，Signal不一定需要使用有效的手机号码注册，如Google Voice和Twilio等虚拟通话服务可用于注册Signal账户，固定电话号码也可用于注册。 - Signal的号码搜索功能允许用户输入要搜索的电话号码。若查询的电话号码没有关联的Signal账户，应用会返回错误消息“联系人不是Signal用户”；否则，Signal会将用户重定向到与搜索号码关联的Signal账户的新聊天界面。找到的Signal账户关联的号码可用于电话号码反向搜索和社交媒体账户搜索。但Signal不提供搜索部分电话号码并返回所有匹配结果列表的功能，只有输入有效电话号码并按下搜索按钮，才能显示搜索结果，因此手动在Signal中按电话号码搜索对数字取证调查人员来说可能是重复性工作，通过Signal API实现搜索过程自动化是未来潜在的工作方向。 #### 4.4.2 联系人加入Signal通知 - 此功能在新Signal账户注册时默认启用。调查人员可在设备联系人簿中为每个待调查的电话号码创建新联系人，然后在手机上启动Signal信使。Signal会请求访问设备联系人簿的权限，获得权限后，会生成蓝色通知提醒用户其联系人正在使用Signal。 - 点击蓝色通知，用户会被重定向到按电话号码搜索Signal账户的页面，与手动查询不同，Signal会在搜索窗格下方显示使用Signal的联系人列表。通过这种方式，数字取证调查人员可快速将调查重点放在列表中的Signal账户和相应电话号码上，这些信息可用于进一步的OSINT调查。 #### 4.4.3 Signal账户个人资料 - Signal允许用户创建个性化的账户个人资料，包括个人资料图片、用户名和账户描述。 - 虽然Signal提供了一系列预定义的头像和文本样式的头像供用户选择，但用户也可使用设备照片库中的图片或使用设备相机拍摄个人资料照片。包括用户个人资料图片在内的图像内容是OSINT调查的重要来源之一。数字取证调查人员可下载公开在线来源的个人资料图片并进行反向图像搜索，以追踪目标的在线活动。如果Signal用户选择使用包含真实面部信息的照片作为Signal个人资料图片，该照片在社交媒体调查中可能非常有用。 #### 4.4.4 阅读回执和打字指示器 - 阅读回执和打字指示器可用于指示Signal在线状态。当这两个功能启用时，调查人员可构建目标的Signal在线时间表热力图，分析目标在一天中何时活跃在Signal上。特别是在Signal群组聊天中，这两个指示器可用于构建每个群组成员的不同活动模式。 - 然而，这两个指示器并不总是可靠的。一方面，用户可在Signal设置中禁用这两个选项，从而阻止其他聊天参与者查看消息阅读状态和打字指示器；另一方面，Signal允许用户将聊天会话标记为未读，以提醒自己关注感兴趣的消息。 ### 4.4.5 OSINT调查中Signal各功能总结 | 功能 | 描述 | 用途 | 局限性 | | ---- | ---- | ---- | ---- | | 通过手机号码搜索Signal账户 | 输入电话号码搜索关联的Signal账户，若有则进入新聊天界面，若无则提示“联系人不是Signal用户” | 用于电话号码反向搜索和社交媒体账户搜索 | 不支持部分号码搜索，手动搜索为重复性工作 | | 联系人加入Signal通知 | 新注册默认启用，允许访问联系人簿后，会提示联系人使用Signal | 快速定位使用Signal的联系人及对应号码，用于OSINT调查 | 依赖于访问联系人簿权限 | | Signal账户个人资料 | 可自定义头像、用户名和描述，头像可来自设备照片库或相机拍摄 | 图像内容可用于反向图像搜索追踪目标在线活动 | 需有公开在线的个人资料图片 | | 阅读回执和打字指示器 | 启用时可构建目标在线时间表热力图，分析活动模式 | 分析目标在Signal上的活跃时间和群组内成员活动模式 | 可被用户禁用，且可标记消息为未读 | ### 4.5 总结与建议 #### 4.5.1 取证分析总结 在对Signal即时通讯应用的取证分析中，我们涵盖了从权限设置、数据采集、分析到实际调查场景的多个方面。通过不同的取证软件和工具，如Oxygen Forensic Detective、Cellebrite UFED Touch 2和Magnet AXIOM，我们能够有效地提取和分析设备中的数据。分析阶段的自动分析、数据库审查和手动分析相互配合，为调查人员提供了全面的信息。 #### 4.5.2 调查场景总结 - **账户接管**：Signal的注册锁定机制对账户接管造成了很大障碍，无论是启用还是禁用注册锁定，目标都可能收到通知并采取措施保护账户，因此账户接管需谨慎进行。 - **关联设备监控**：关联设备可用于监控实时Signal通信，但存在目标移除关联和QR码扫描困难的问题。 - **群组聊天监控**：加入目标群组可获取实时群聊信息，但新成员加入通知可能会引起目标警觉，不过在成员众多且活跃的群组中，通知可能被淹没。 - **OSINT调查**：Signal的多个功能可用于OSINT调查，如手机号码搜索、联系人加入通知、账户个人资料和阅读回执等，但各功能存在一定局限性。 #### 4.5.3 建议 - **取证分析方面**：持续关注取证软件的更新，以应对Signal应用可能的更新和变化。同时，结合多种取证工具进行交叉验证，提高分析结果的准确性。 - **账户接管方面**：除非万不得已，不建议轻易尝试接管Signal账户。若必须进行，需充分考虑目标可能的反应，并制定相应的应对策略。 - **关联设备监控方面**：探索更有效的方法来解决QR码扫描问题，如与设备制造商或应用开发者合作，获取合法的监控权限。 - **群组聊天监控方面**：在加入目标群组时，尽量选择成员众多且活跃的群组，以降低新成员加入通知被注意到的风险。 - **OSINT调查方面**：结合其他开源情报来源，综合分析从Signal中获取的信息，提高调查的准确性和效率。 ### 4.6 未来展望 随着即时通讯应用的不断发展和更新，Signal也可能会引入新的功能和安全机制。未来的研究可以关注以下几个方面： - **自动化取证分析**：开发自动化的取证工具，提高取证分析的效率，减少人工操作的工作量。 - **应对新安全机制**：研究Signal可能推出的新安全机制，如更高级的加密算法、多因素认证等，并探索相应的取证方法。 - **跨平台取证**：随着Signal在不同平台上的广泛应用，研究跨平台的取证技术，确保能够在各种设备上有效地提取和分析数据。 - **数据挖掘与分析**：利用数据挖掘和机器学习技术，对Signal中的大量数据进行深入分析，挖掘潜在的证据和线索。 ```mermaid graph LR A[未来研究方向] --> B[自动化取证分析] A --> C[应对新安全机制] A --> D[跨平台取证] A --> E[数据挖掘与分析] ``` 总之，对Signal即时通讯应用的取证分析是一个具有挑战性但又非常重要的领域。通过不断的研究和实践，我们可以提高取证分析的能力，为打击犯罪和维护社会安全提供有力的支持。