对Apple Watch的取证剖析(续) | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

对Apple Watch的取证剖析(续)

申博_安全工具 申博 109次浏览 未收录 0个评论

在过去几年中,智能可穿着装备的运用明显增添。2018年智能腕表销量达1.41亿部,智能可穿着装备销量同比增进近一倍。在猛烈的市场竞争中,Apple Watch占有了主导地位,2018年可穿着装备销量凌驾2250万台,占有了环球市场近一半的份额。

从2015年最先,苹果统共临盆了五种差别型号的WatchOS。WatchOS是一款基于iOS的可穿着操纵体系,特地为Apple Watch开辟。

2015年,希瑟•马力克(Heather Mahalik)和萨拉•爱德华兹(Sarah Edwards)对Apple Watch举行了开端的立异研讨,该演示文稿能够在Sarah Edwards的GitHub账户上找到(PDF)。

从那时起,就没有若干关于怎样从这类装备中提取数据的研讨。在过去的几个月里,我一直在研讨怎样提取和剖析存储在Apple Watch内存中的数据。

在取证剖析方面,正如在之前的文章所议论的,我们有三个挑选:

· 1.猎取配对的iPhone的备份;

· 2.直接将Apple Watch衔接到电脑上;

· 3.云(提取同步的康健数据);

剖析配对iPhone的备份

iPhone的逻辑提取是尽人皆知的,你能够经由过程iTunes,或许运用你挑选的取证东西(比方Elcomsoft iOS取证东西包) 备份iPhone。

一旦提取了iPhone备份,就能够对其举行剖析,以取得配对的Apple Watch的信息。在本文中,我将运用两个很棒的东西,分别是Windows和MacOS都可用的iBackupBot和Windows的SQLite Expert,我们能够经由过程剖析规格型号来最先观察Apple Watch。

在\HomeDomain\Library\DeviceRegistry.state文件夹中,我们能够找到以下四个文件:

· historySecureProperties.plist

· stateMachine-<GUID>.PLIST

· activestatemachine.plist

· history.plist

对Apple Watch的取证剖析(续)

historySecureProperties.plist文件包含配对Apple Watch的序列号、UDID (UniqueDeviceIdentifier)、Wi-Fi Mac地点和BT Mac地点。

对Apple Watch的取证剖析(续)

stateMachine- <GUID> .PLIST文件包含配对状况(一般包含值PairSuccess)、配对时装置在Apple Watch上的WatchOS版本和配对时候戳(以Apple Cocoa Core Data花样存储)。

对Apple Watch的取证剖析(续)

activestatemachine.plist包含与stateMachine- <GUID> .PLIST相似的信息,并且在举行备份时添加了在装备上装置的WatchOS版本。

\ HomeDomain \ Library \ DeviceRegistry文件夹包含一个名为stateMachine- <GUID> .plist文件的GUID的子文件夹:此文件夹包含来自AppleWatch的备份数据。

对Apple Watch的取证剖析(续)

在种种文件和文件夹中,以下是最感兴趣的文件和文件夹:

NanoAppRegistry文件夹,包含有关已装置应用程序的信息。鄙人图中,你能够找到有关Facebook应用程序的信息,以及绑定Bundle版本、显现称号、绑定Bundle标识符和绑定Bundle称号。

对Apple Watch的取证剖析(续)

能够看出,NanoMail \ Registry.sqlite文件包含有关已同步的电子邮件帐户的信息。

在SYNCED_ACCOUNT表中,你能够找到装备上设置的每一个电子邮件帐户的显现称号和电子邮件地点。

对Apple Watch的取证剖析(续)

在MAILBOX表中,你能够在装备上设置的每一个电子邮件帐户的文件夹和子文件夹中找到电子邮件的发件人。

对Apple Watch的取证剖析(续)

NanoPasses \ nanopasses.sqlite3数据库包含AppleWatch钱包中可用的“通行证”列表。关于关于每一个通报,你都能够找到Type_ID、构造称号、摄取日期(以Apple Cocoa Core Data花样存储)和形貌。

对Apple Watch的取证剖析(续)

一些通报还能够具有“编码通报”字段,这是一个二进制plist文件,包含关于通报的细致信息。二进制plist文件能够从数据库中被提取出来,并保存为一个零丁的文件,并运用plist检察器(比方plist编辑器)翻开。

鄙人面的截图中,你能够在Booking.com上检察与旅店预订相干的编码通行证,能够运用SQLiteExpert翻开编码通行证并将其另存为零丁的文件。

对Apple Watch的取证剖析(续)

然后能够运用plist编辑器翻开该文件,提取关于预订的特定信息,如旅店称号和地点、客人姓名、付出的价钱、预订号码以及入住和退房日期。

对Apple Watch的取证剖析(续)

NanoPreferencesSync文件夹包含与Apple Watch设置相干的种种文件,个中最风趣的子文件夹之一是\Backup\Files\,个中包含有关腕表表面的信息,用户能够用iPhone同步的图片定制这些信息。鄙人面的截图中,你能够找到存储在个中的一切文件的细致信息。

对Apple Watch的取证剖析(续)

每一个文件都是一个zip文件:

对Apple Watch的取证剖析(续)

该文件包含:

1.Face.json带有“Face”细节,包含建立日期(以Apple Cocoa Core Data花样存储);

2. Resources文件夹,包含JPG花样的脸部图片和包含图片信息和元数据的plist文件;

对Apple Watch的取证剖析(续)

从Apple Watch中提取数据

能够挑选直接从Apple Watch中提取数据,不过现在还存在以下一些特定的要乞降限定,对取证剖析造成了肯定的影响。

1.你须要一种要领把你的电脑和Apple Watch衔接起来,如关于《Apple Watch和Apple TV 取证剖析》的文章所述,Apple Watch S1、S2和S3能够运用适配器,我们对Apple Watch 4的适配器一窍不通。

2.当衔接到电脑时,Apple Watch必需配对才许可接见数据。假如Apple Watch受暗码保护且暗码未知,则没法天生配对。

3.在WatchOS上没有运转备份效劳,因而没法直接建立Apple Watch的备份。

4.最新版本的WatchOS还没法举行逃狱;

考虑到这些限定,我们能够从衔接的Apple Watch中取得三种差别范例的数据:

1.装备信息和已装置应用程序的列表;

2.经由过程AFC (Apple File Conduit)协定猎取文件;

3.装备日记;

装备信息和已装置的应用程序列表

Apache axis远程命令执行漏洞预警

近日,深信服发现Apache axis 组件远程命令执行漏洞利用方式。该漏洞本质是由于管理员对AdminService配置错误,当enableRemoteAdmin属性设置为true时,攻击者可以远程利用AdminService接口自行发布构造的WebService,再次访问生成的WebSe

经由过程在衔接到配对的Apple Watch的Windows或MacOS盘算机上运用Elcomsoft iOS Forensic Toolkit,你能够运用“I”(信息)选项来提取装备信息。

对Apple Watch的取证剖析(续)

这个敕令会天生三个文件:

· Ideviceinfo.plist

· Applications.txt

· Applictions.plist

ideviceinfo.plist文件包含有关装备的细致信息,包含硬件型号、WatchOS版本、序列号、UDID、装备称号、Wi-Fi和蓝牙地点、时区和现实设置时候。

对Apple Watch的取证剖析(续)

它还包含关于磁盘总容量、体系总容量、数据总容量、可用数据总容量和当地言语的信息。

对Apple Watch的取证剖析(续)

Applications.txt文件包含已装置应用程序的列表,包含Bundle标识符、Bundle版本和Bundle显现称号。

对Apple Watch的取证剖析(续)

Applications.plist文件包含有关已装置应用程序的细致信息,包含应用程序途径和容器文件夹。鄙人面的截图中,你能够找到一个Uber应用程序信息的例子。

对Apple Watch的取证剖析(续)

经由过程AFC(Apple File Conduit)协定猎取

经由过程在衔接到配对Apple Watch的Windows或MacOS盘算机上运用Elcomsoft iOS Forensic Toolkit,你能够运用“M”(媒体)选项提取经由过程AFC协定供应的媒体文件。

对Apple Watch的取证剖析(续)

猎取后,你就能够运用你喜好的取证东西(在此示例中为X-Ways Forensics)剖析数据。X-Ways Forensics是一款环球业界公认的盘算机取证综合剖析软件,具有功用完全、机能卓着、界面简约、操纵天真等手艺特性。X-Ways Forensics已成为浩瀚电子数据取证观察职员喜欢的取证东西之一。

对Apple Watch的取证剖析(续)

与原始图片比拟,图片的大小举行了调解,但它们依然能够包含风趣的元数据,如相机型号称号和原始收集时候戳。

对Apple Watch的取证剖析(续)

iTunes_Control\iTunes文件夹包含一个名为MediaLibrary的文件。sqlitedb和相干的SHM(同享内存)和WAL(提早写日记)文件。这个SQLite文件包含一些风趣的信息,比方用户的iCloud帐户ID,以及用户从苹果市肆取得的媒体(歌曲和影戏)和电子书列表。此文件包含关于运用与统一iCloud帐户同步的一切用户装备举行购置的信息。

对Apple Watch的取证剖析(续)

该数据库包含36个表,_MLDatabaseProperties表包含iCloud帐户ID。

对Apple Watch的取证剖析(续)

要从数据库中提取有意义的数据,能够运用以下SQL查询:

对Apple Watch的取证剖析(续)

该查询将提取关于用户举行的购置的细致信息,包含题目,媒体范例,文件大小,总时候(用于歌曲和影戏),帐户ID,购置和购置汗青ID的数据。关于存储在Apple Watch上的购置信息,你还能够找到文件名。

select
ext.title AS "Title",
ext.media_kind AS "Media Type",
itep.format AS "File format",
ext.location AS "File",
ext.total_time_ms AS "Total time (ms)",
ext.file_size AS "File size",
ext.year AS "Year",
alb.album AS "Album Name",
alba.album_artist AS "Artist", 
com.composer AS "Composer", 
gen.genre AS "Genre",
art.artwork_token AS "Artwork",
itev.extended_content_rating AS "Content rating",
itev.movie_info AS "Movie information",
ext.description_long AS "Description",
ite.track_number AS "Track number",
sto.account_id AS "Account ID",
strftime('%d/%m/%Y %H:%M:%S', datetime(sto.date_purchased + 978397200,'unixepoch'))date_purchased,
sto.store_item_id AS "Item ID",
sto.purchase_history_id AS "Purchase History ID",
ext.copyright AS "Copyright"
from
item_extra ext
join item_store sto using (item_pid)
join item ite using (item_pid)
join item_stats ites using (item_pid)
join item_playback itep using (item_pid)
join item_video itev using (item_pid)
left join album alb on sto.item_pid=alb.representative_item_pid
left join album_artist alba on sto.item_pid=alba.representative_item_pid
left join composer com on sto.item_pid=com.representative_item_pid
left join genre gen on sto.item_pid=gen.representative_item_pid
left join item_artist itea on sto.item_pid=itea.representative_item_pid
left join artwork_token art on sto.item_pid=art.entity_pid

响应的文件能够在经由过程AFC协定提取的购置文件夹中找到:

对Apple Watch的取证剖析(续)

PhotoData文件夹包含与已同步照片相干的文件,你能够在这里找到最风趣的信息是Photos.sqlite数据库和Thumbnails文件夹。

对Apple Watch的取证剖析(续)

Photos.sqlite文件包含有关存储在装备上的照片的信息,有关此文件构造的细致申明,请接见https://www.forensicmike1.com/2019/05/02/ios-photos-sqlite-forensics/,能够在https://github.com/kacos2000/queries/blob/master/Photos_sqlite.sql上找到剖析此文件的SQL查询。

缩略图文件夹包含存储在Apple Watch上的图片的缩略图,你能够运用ITHMB转换器剖析ITHMB文件,并能够找到已删除图片的缩略图。

对Apple Watch的取证剖析(续)

提取装备日记

经由过程在衔接到配对Apple Watch的Windows或MacOS盘算机上运用Elcomsoft iOS Forensic Toolkit,能够运用“L”(Logs)选项提取这些信息。

对Apple Watch的取证剖析(续)

在此,我强烈建议,你先浏览一下这篇文章《运用Apple的破绽报告来举行取证》。

在本研讨中,我们强调了运用sysdiagnose设置文件从苹果装备中提取数据的重要性。该要领也在Apple Watch上举行了测试,测试时,天生了一个包含很多有效信息的完全TAR文件。鄙人面的截图中,你能够找到从Apple Watch中提取的sysdiagnose日记。

对Apple Watch的取证剖析(续)

我们还开辟了种种脚原本剖析sysdiagnose猎取过程当中可用的一些文件。这些剧本能够从GitHub取得。

你能够在sysdiagnose日记中找到一些相干的信息:

MobileActivation日记,包含关于装置构建版本的时候、硬件模子和产物范例的信息。它还细致引见了操纵体系的晋级,鄙人面的截图中,你能够在Apple Watch的Mobile Activation日记中看到剧本的实行情况。

对Apple Watch的取证剖析(续)

MobileContainerManager日记,包含有关应用程序卸载的信息,这些信息能够具有汗青意义。鄙人面的截图中,你能够在Apple Watch的MobileContainerManager日记中看到剧本的实行情况。

对Apple Watch的取证剖析(续)

MobileInstallation日记,包含关于已装置应用程序的汗青信息。鄙人面的截图中,你能够看到Alexis Brignoni在Apple Watch的MobileInstallation日记上实行MIB剖析器剧本。

对Apple Watch的取证剖析(续)

PowerLog日记,包含有关用户与装备交互的信息,Sarah Edwards在她的演示文稿(PDF)和她的开源东西包APOLLO中已研讨和形貌了该数据库的构造。鄙人面的截图中,你能够看到针对从Apple Watch提取的PowerLog是怎样实行APOLLO的?

对Apple Watch的取证剖析(续)

WiFi日记能够用来提取装备衔接到的收集列表,最轻易剖析的文件是com.apple.wifi.plist。个中包含每一个收集的细致信息,包含SSID、BSSID和近来到场日期,BSSID还能够经由过程运用像Wigle如许的效劳来反向查找Wi-Fi收集的位置。

对Apple Watch的取证剖析(续)

对Apple Watch的取证剖析(续)

云取证剖析

从iCloud猎取数据是另一种对Apple Watch取证的要领,该要领关于提取Apple Watch和iPhone之间同步的康健数据特别有效。鄙人面的截图中,你能够对从iCloud上存储的iPhone备份中提取的康健数据举行邃密处置惩罚。

对Apple Watch的取证剖析(续)

总结

对Apple Watch的取证剖析现在还属于比较前沿的话题,考虑到环球可穿着装备的销量不停增进,我们须要提早举行更多的研讨和测试。

原文地点: https://www.4hou.com/web/18879.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明对Apple Watch的取证剖析(续)
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址