絕密法庭檔案

2024.07.03

實時更新 | 屠龍小隊第四十七日審訊

13:34 散庭

13:18 Cellebrite可以不同形式匯出資料
警方專家指出Cellebrite會將從電話中擷取得到的數碼檔案壓縮為一個文件夾，然後透過電腦軟件進行分析，最終以試算表或PDF形式匯出所需檔案。在匯出成試算表後，提取人員會刪除空白及法庭無法明白的檔案，並與調查人員溝通保留與案有關的檔案，然後燒成光碟呈交法庭，此做法不會將數據庫內資料刪除。

13:07 Cellebrite有三個不同程度的擷取方式
警方專家指出警隊使用的Cellebrite型號為UFED Touch 2，有三個擷取資料的程度，Physical Extraction會深入手機底層，可以擷取到最多的數據，但要視乎手機型號，並不是任何手機都能夠做到，蘋果手機的iOS系統就不支援Physical Extraction。其次的是Full File System，同樣可以擷取電話深層的隱藏資料。最常用是一種是ADV Logical，擷取的數據是最少，用戶見到的資料都可以擷取得到，但就無法擷取隱藏資料。提取人員在事前是不會知道各個方式所擷取數據的容量大小。

12:51 辯方質疑警方只用Cellebrite取證
辯方指出有不同法理鑑證工具可以取證，並問警方證人如何確保只用Cellebrite所得出的結果是準確的。警方證人表示每當Cellebrite有新版本推出時，都會用同一部手機放在不同的法理鑑證軟件進行對比，確保結果的一致性，並指出警隊的數碼鑑證流程有專用的Cellebrite線路連接系統，確保法理影像檔案不受干擾地直接儲存在電腦系統內。

12:21 休庭

12:05 Telegram帳戶擁有唯一的識別碼
警方專家指出在Telegram註冊帳戶會有一組不能修改的識別碼(User ID)和一個可自行設定的帳戶名稱(User Name)，帳戶名稱可以修改，但不能重覆，即同一時間只有一個帳戶可以使用該名稱，而顯示名稱則可以重覆，其他用戶可以透過手機號碼和帳戶名稱搜尋用戶。

11:36 相片資料可推斷拍攝所用的手機
警方專家指出利用手機拍攝功能產生的相片會有較多的資料信息，例如：廠名、型號、GPS經緯度，人員可透過相片的建立日期、儲存路徑等詳細資料推斷相片是否由證物手機所拍攝。

10:47 休庭

10:00 檔案名稱可了解資料來源
警方專家指出Cellebrite擷取的資料可以透過檔案名稱得知儲存路徑，並大致可分為六個類別，第一類是在蘋果手機內預設的儲存位置，當使用蘋果手機拍攝相片，或從WhatsApp等第三方軟件下載的相片，就會儲存到預設的資料夾中，包括IMG、HEIC、JPG、PNG、MOV、MP4等檔案格式；第二至四類是上傳到雲端(iCloud)的資料；第五至六類是由利用Telegram內建功能產生的相片或影片。

09:43 擷取程序確保資料不會被篡改
警方專家每次要從封存證物中擷取法律影像前，都需要到法院申請手提電話搜查令，才能檢視電話內的相關證據。由於案中電子裝置會交由不同的警方專家處理，所以人員在處理相關法理影像檔案時，會計算和核對雜湊值(Hash Value)，確保不同人員擷取的法律影像檔具一致性。

08:55 警方使用Cellebrite擷取被刪除的資料
警方專家確認有參與檢驗案中電話、平板電腦等裝置的工作，並指出有不同選項和硬件可以擷取當中的資料，而其接觸的裝置均使用Cellebrite (採用當時最新的版本)進行法理鑑證工作，Cellebrite的其中一個功能是可以將已經被刪除的訊息重新呈現出來，但只可擷取能夠復原的資料，並非任何資料都能擷取。Cellebrite是全球知名的流動法理鑑證工具公司，超過一百個國家的公共機構採用，能夠將流動裝置內的二進制編碼數據轉換成人類可閱讀的格式。在擷取開始前，需要將Cellebrite裝置和擷取裝置充電至足夠水平，否則在擷取過程中會因不夠電而中斷，中斷後需要重新開始擷取，同時亦要將兩個裝置斷網，防止證物在檢驗過程中被干擾。當電話插入Cellebrite，便會Step-by-Step指示法證人員進行處理工作。當Cellebrite擷取到相片和影片等內容時，亦會擷取相關資料，例如：創建日期、修改日期、儲存路徑、拍攝位置，但不一定會有齊所有資料。

08:51 警方數碼法證專家證人出庭作供

08:46 開庭