2024年3月8日发(作者:郁傲南)
r智能手"电子数据取证方法研究t钟运涛'王远征2肖波2陈秋林彳1.湖北省武汉市公安局2.湖北省公安厅3.四川省攀枝花市公安局仁和区分局摘要:随着智能穿戴设备的流行,智能手表日渐成为人们的数字伴侣。智能手表中的电子数据具有潜在的证据价值。在厘
清智能手表的操作系统和接□分类的基础上,阐述了使用USB、蓝牙、Wi-Fi接□调试及通过手机端伙伴APP备份
进行取证等常规取证方法,并针对当前智能手表取证存在的困境,提出了使用自行开发的代理APP进行取证的思路
和方法。关键词:智自嘶取证智能手表引言随着移动通信、物联网、人工智能、嵌入式芯片SoC技
_、智能手表概述(-)操作系统分类术的发展,智能穿戴、智能家居和智能车载等设备已经进入
人们的生活,而智能手表具有小巧、舒适、便携的优点,最
智能手表的操作系统主要有WearOS
( Android
Wear)、WatchOS、lizen、Tiewear等。其中Android
Wear
主要应用于2014年以前基于安卓系统的智能手表;WearOS
为贴近人们的日常生活,且在人对自身数据监测、人与人的
交互、人与物的交互中,已经产生了大量的数据。根据人们
关注的侧重点不同,这些数据中包含了潜在的有价值信息,
如与时间相关的信息、与位置相关的信息、与速度相关的信
主要应用于2014年以后的基于安卓系统的智能手表;
WatchOS是基于QS开发的,主要应用于Apple
Watch
;
Twen是基于Unux开发的,主要应用于三星智能手表;
Tiewear是首款中文智能手表操作系统,兼容Android
wear模
息、与内容相关的信息、与频次相关的信息等。从数据中挖
掘有价值的信息,变数据为证据,是辅助打击违法犯罪的有
式,主要应用于TcWatch;
Amazffi手表是华米公司基于
Android5.1开发的智能手表,其系统为WOS。(二)接口分类常见的智能手表接口分为充电接口、数据传输和通信接
力武器。据报道,国外已有多起案件对智能手表进行存证、
取证,并将数据分析结论应用于司法活动,因此,研究智能
手表的取证技术存在现实意义。国内的一些实战单位、科研
机构和公司厂商的研究人员也逐步开展了与智能穿戴设备取
证相关的研究%*基金项目:信息网络安■全公安部重点实验室开放课题项目(编号:C18615
)口。充电接口有USB接口,如智能快车手表和小天才Y"!手Police
Technology
2019年第6期
53
表;触点式充电接口,如小天才Y3手表、华为Watch
GT;
无线充电接口,如Apple
Watch、MOTO360、三星S系列手
三、智能手表取证方法(-)建立通信关系智能手表取证的关键在于如何建立手表与取证专用计
表等。数据传输和通信接口有USB、蓝牙、NFC、W-Fi、4G等。算机之间的通信关系。大量实验表明,实用可行的方法包括
USB调试、蓝牙调试、Wi-Fi调试。4.通过USB调试智能手表最常规最有效的取证方式是通过USB数据线
直接连接手表,确认信任关系,打开USB调试进行取证。
例如以下手表都可以通过直连USB接口的方式打开USB调
试,进行数据提取:图1各式各样的充电接口(1
)智能快车(GSM手表):智能快车手表易于拆
二、智能手表取证困境(-)难据接口提[据两触点式充电接口的手表由于没有USB四个线序,该
卸,拆开后盖后,其SIM卡槽和SD卡槽清晰可见,可直连
手表輙数据。(2 )
Ticwatch手表:Ticwatch手表初始化时,可在两
个系统选择其一进行初始化,一个系统内核为Android
接口只能充电,无法传输数据;采用无线感应充电的手表,
由于没有外露的USB接口,USB调试不适用;有的虽然有
5.1,另一个是Wear
OS系统,如果初次启动选择Android系
统后,系统的USB调试可以打开,提取手表中数据的方法
和取证Android
相同。(3
)华米2手表:在华米手表的“系统安全-华米实
USB接口,但该接口仅能充电,不能传输数据,也不能进入
调试模式;还有的系统中没有开放任何调试接口(蓝牙、
W-Fi等),女"J米的米兔3手表等。(二)
尚无专门的、成熟的智能手表取证工具软件由于智能手表种类繁多、操作系统各式各样、功能模
块配置各异、接口标准不一等因素制约,目前还没有针对智
验室”选项中可开启USB调试模式。(4 )
Galaxy
Gear
SM-V700手表:Galaxy
Gear SM-
V700是三星的第一代手表,搭载的是Android
4.3的系统,
提取手表中数据方法和取证Android手机相同。{ 5 )
Moto360第一代手表:Moto360第一代手表的表
带下方隐藏着可进行USB调试的触点回,以提取数据和镜
能手表电子数据取证的专用工具或软件。市售的支持通过
USB接口提取数据的取证软件大多不支持对智能手表进行蓝
牙和Wi-Fi调趣证。像。2.通过蓝牙调试(三)
芯片级取证的方式难度较大、风险较高芯片级取证的方式也可用于智能手表取证,例如公安
部物证鉴定中心的研究人员成功通过芯片取证的方式读取了
通过蓝牙调试的操作步骤较为繁琐,需要一台取证专
用计算机和一部与手表相配对的手机配合进行操作,如图
GEAK
Watch
Pro手表镜像%但是芯片级取证对取证人员
的技术要求非常高,例如三星Samsung
Gear
2
Neo
SM-
3所示。具体操作步骤如下:R381拆解后发现,其CPU、内存和芯片堆叠在一起,剥离
困难,又例如Gear
S2 SM-R730T的存储芯片非通用芯片,
针脚定义不常见,读取镜像困难。图3蓝牙调试工作模式示意图(1
)打开Wear
OS的"开发者选项”,进入Wear
OS系统桌面,在”设置_系统-关于”路径下,连续点击版
本号(Build
number)旳数次,设备即会开放"开发者选
图2
Gear
S2
SM-R730T拆解图、存储芯片图项",如图4所示;54
廳匿3
2019年第6期
入的网络SSID号。若手表出现图6的提示信息,说明这个
W-Fi有密码,此时需要在配对手机和手表处于蓝牙连接状
态下,在手机弹出窗口中输入Wi-Fi的网络密码,使手表进
入同一网络。如果Wi-Fi网络为无密码的公开网络,就不需
要酉珂手机,也设置密蹄作。在这种情况下,没有
配对手机也能对智能手表进行Wi-H调试取证;图4
Wear
Os系统中出现开发者选项示意图(2)在手表的“开发者选项”中,选择启用adb调试
TRJNM4M■■■入IW模式和通过蓝牙调试;(3
)通过USB数据线将配对手机连接至安装有
程序的电脑,打开手机USB调试模式;8图6加入WLAN网络需要在配对手机上输入Wi-Fi密码(4
)在配对手机的Wear
OS应用软件中,点击选择
”高级设置-通过蓝牙调试”
o此时电脑即可通过配对手机
进行端口转轴再ail®牙与智能手表进fia信;(5
)在计算机端输入”adb
devices"命令返回手机编
(4)手表加入Wi-Fi,点击SSID,观察手表的IP地址
和MAC地址,并记录。本次实验中手表的IP为
192.168.100.118,如图7所示;号,不同手机编号是不同的字符串。执行adb
forward
tcp:4444
bcalabstract/adb-hub命令同,如果不提示错误,
说明命令已经执行。执行adb
connect
127.0.0.1:4444,手表
端会弹出一伍否允许调试的对话界面,点击允许。此时即
可通过adb
shell对智能手表进行adb命令调试。若执行adb
backup没有反应,说明该wear
Os系统不支持备份。3.通过Wi-Fi调试Wi-H调试比蓝牙调试简单得多,通过Wi-Fi连接不容^
掉线,且不需要通过配对手机作为中间转发,但如果WiFi 网络有密码,
则需要通过配对手机输入密码,如图5所
(5
)检查电脑的Wi-Fi网络P地址,确保和手表WiFi
网络P地址在同一路由器网络中;(6)在取证计算机端通过adb命令,连接手表的IP地
示。具体操作步聚®下:址。命令格式如下:adb
tcpip
”端口号”,端口号一般是
5555,其他没有被占用的端口也行回,再输入adb
connect
192.168.100.118:5555,连接成功的话,取证电脑就和手表
通过W-Fi建立了
adb调试通道。(二)通过现有工具进行取证前述能够打开USB调试的手表,大多都可以直接通过
现有手机取证工具软件进行数据提取。但部分使用USB充
电的Wear
OS系统手表不识别USB接口、不支持USB调
图5
Wi-Fi调试工作模式示意图(1
)使取证计算机和智能手表连接同一Wi-Fi无线路
由器;试、不能使用USB接口传输数据,这种情况需要先把建立
好蓝牙或Wi-Fi调试通道的手表连接到取证专用计算机的
USB接口,执行adb
recovery命令后,手表界面上出现一个
(2
)打开Wear
OS的"开发者选项”,操作步骤同
红色感叹号,这时电脑提示已经识别新USB设备,即可使
上;(3
)在Wear
OS系统的"设置”选项中打开“网络连
用手机取证软件提取该手表的电子数据。部分国产系列手表
可采用此方法测试。以上方法可提取机身信息、短信、通话记录、联系人接”,选择WLAN,在W3N中选择“添加网络”,找到加Police
Technology
2019年第6期
55
等常规信息。由于WearOS为Android
8.0.0的系统,且不支
机上备份提取伙伴APP数据要简单、方便、实用得多。对
配对手机的伙伴APP备份数据进行提取的过程并不复杂,
持系统备份,无法提取微信、QQ、运动APP等应用程序内
容。如果能够获得系统r8t权限,则可提取到更多的应用程
困难的是备份数据的解析。智能手表的伙伴APP众多,而
臧据。(三)
通过代理APP取证对于无法通过手机取证软件提取电子数据和无法开启
目前手机取证软件能够解析的智能手表伙伴APP应用数据
十分有限。经实验,大部分智能手表的伙伴APP数据存储
于sqlite数据库加密文件中,其加密算法较复杂,思路可以
USB调试的智能手表,项目组设计开发了一款代理APP,可
以提取无线充电的智能手表电子数据。该他APP通过Wi通过查询数据库,把结果写成文本,然后通过Python或
Lua语言写出解密脚本来解密文本以获取数据明文,如某
手表的伙伴APP的sqlite数据库文件能够使用Navicat
Premium打开,包含短信息、位置信息、聊天信息、轨迹
Fi调试或蓝牙调试安装后进行工作,
取回数据通过Wi-Fi回
传到取证专用计算机进行展示。如果智能手表没有开放蓝牙
或Wi-Fi调试,也可以把该代理APP上架到应用市场中,使
等,其部分字段内容采用非标准的base64编码,如图8所
示。仅有少数APP备份后直接解压tar包,发现其数据存储
的sqlite数据库文件没有加密。用智能手表联网的功能下载该代理APP运行后,提取电子数
据并通过Wi-Fi回传到取证专用计算机进行展示。该憎APP必须使用WearOS系统的API进行设计,考虑
到兼容性,最低SDK为Android
6.0,并采用Google推荐
Koflin语言进行程序设计,为了读取穿戴设备数据必须在
AndroidManifest开放
ACCESS_COARSE丄OCATQN、
READ
_PHONE_STATE、READ_CALL_LOG、WRITE
_CAI_L_LOGS
READ_SMSs
READ_COWTACTSs
WRITE
.CONTACTS、
INTERNET.
READ_
EXTERNAL.
STORAGE,
WRIIE_EXTERNAL_STORAGE等权限。由于高
图8
SQLite数据库中的数据内容四、结语目前,智能穿戴设备和物联网取证技术研究在国内还
处于起步阶段,智能手表需要研究的内容还很多,如嵌入式
版本Android安全机制的原因,需要使用RequestPermissions
函数和取证人员交互确认这些权限是否开放。只要取证人员
赋予权限,代理就可以读取穿戴设备上的位置、状态、通话
设备的串口调试、通过JTAG提取存储芯片固件的镜像内
容、研究Tizen系统的取证方法及云端数据取证等。由于深
记录、短信、联系人、互联网、读写存储器等权限。其中通
话记录、短信、联系人使用系统ContentProvider接口中的
ContentResolver类的query函数使用标准Uri进行查询,把查
入研究时间太短,以上对于智能手表取证的内容仅仅是f
开端,记录下来,以期抛砖引玉。日询到的内容保存成如格式文本文件,并通过互联网http协议
或套接字上传至取证计算机进行信息展示。代理通过
GetSystemService
(
ONY_SERVICE
)系统函
数获得TelephonyManager对象,利用其属性得到智能设备的
参考文献[1]
王晨,王朝.浅析维pie
Watch取证技术与方法必中国新通信,
2016(05):35-38.设备编号、软彳牛版本、网雄营商代号、IMEL
IMSk网络
运营商名称、手机制式、蜂窝状态信息、SIM卡的国别等信
息。代理APP还可以扩展开发具有读取图片、文本、数据库
的功能。苹果手表也可尝试该思路,用XCode开发代理进行[2]
赵露,康艳荣,郭丽莉,龙源.智能手表电子物证取证方法研究
[)].刑事技术,2018年第43卷第1期.国
搜狐数码.Moto360被黑客破解可刷其他ROM[EB/OL].
Http:///20140^7/n404700124JhtniL[4]西迪基•哈米德,贾伟德•奇达.精通Android
Wear应用开发
机械出版社,2017.(四)
通过配对手机中的伙伴APP备份进行取证[5|
David
CuartieHes
Ruiz
Andreas
<3靳晓辉译.Android可
穿戴设备高级编程清华大学出版社.目前智能手表的大多应用数据向智能手机终端同步汇
集,这为从手机提取智能手表的数据提供了条件。相对于
从取证人员较为陌生的操作系统(如Wear 0Ss
Tizen、
[6]
浅咸.ADB
Wi—E
的使用[EB/OL].
Https://t/webdn
_40441128血心/(^8/80170681.[7]
MizarThn.小
米运动手环数据导出[EB/OLJ.
Htips://blog.
csdrin^/mizartian/aitide/details/、LiteOSs
tiewear)上提取APP数据,直接从配对手
56晝察阿2019年第6期
2024年3月8日发(作者:郁傲南)
r智能手"电子数据取证方法研究t钟运涛'王远征2肖波2陈秋林彳1.湖北省武汉市公安局2.湖北省公安厅3.四川省攀枝花市公安局仁和区分局摘要:随着智能穿戴设备的流行,智能手表日渐成为人们的数字伴侣。智能手表中的电子数据具有潜在的证据价值。在厘
清智能手表的操作系统和接□分类的基础上,阐述了使用USB、蓝牙、Wi-Fi接□调试及通过手机端伙伴APP备份
进行取证等常规取证方法,并针对当前智能手表取证存在的困境,提出了使用自行开发的代理APP进行取证的思路
和方法。关键词:智自嘶取证智能手表引言随着移动通信、物联网、人工智能、嵌入式芯片SoC技
_、智能手表概述(-)操作系统分类术的发展,智能穿戴、智能家居和智能车载等设备已经进入
人们的生活,而智能手表具有小巧、舒适、便携的优点,最
智能手表的操作系统主要有WearOS
( Android
Wear)、WatchOS、lizen、Tiewear等。其中Android
Wear
主要应用于2014年以前基于安卓系统的智能手表;WearOS
为贴近人们的日常生活,且在人对自身数据监测、人与人的
交互、人与物的交互中,已经产生了大量的数据。根据人们
关注的侧重点不同,这些数据中包含了潜在的有价值信息,
如与时间相关的信息、与位置相关的信息、与速度相关的信
主要应用于2014年以后的基于安卓系统的智能手表;
WatchOS是基于QS开发的,主要应用于Apple
Watch
;
Twen是基于Unux开发的,主要应用于三星智能手表;
Tiewear是首款中文智能手表操作系统,兼容Android
wear模
息、与内容相关的信息、与频次相关的信息等。从数据中挖
掘有价值的信息,变数据为证据,是辅助打击违法犯罪的有
式,主要应用于TcWatch;
Amazffi手表是华米公司基于
Android5.1开发的智能手表,其系统为WOS。(二)接口分类常见的智能手表接口分为充电接口、数据传输和通信接
力武器。据报道,国外已有多起案件对智能手表进行存证、
取证,并将数据分析结论应用于司法活动,因此,研究智能
手表的取证技术存在现实意义。国内的一些实战单位、科研
机构和公司厂商的研究人员也逐步开展了与智能穿戴设备取
证相关的研究%*基金项目:信息网络安■全公安部重点实验室开放课题项目(编号:C18615
)口。充电接口有USB接口,如智能快车手表和小天才Y"!手Police
Technology
2019年第6期
53
表;触点式充电接口,如小天才Y3手表、华为Watch
GT;
无线充电接口,如Apple
Watch、MOTO360、三星S系列手
三、智能手表取证方法(-)建立通信关系智能手表取证的关键在于如何建立手表与取证专用计
表等。数据传输和通信接口有USB、蓝牙、NFC、W-Fi、4G等。算机之间的通信关系。大量实验表明,实用可行的方法包括
USB调试、蓝牙调试、Wi-Fi调试。4.通过USB调试智能手表最常规最有效的取证方式是通过USB数据线
直接连接手表,确认信任关系,打开USB调试进行取证。
例如以下手表都可以通过直连USB接口的方式打开USB调
试,进行数据提取:图1各式各样的充电接口(1
)智能快车(GSM手表):智能快车手表易于拆
二、智能手表取证困境(-)难据接口提[据两触点式充电接口的手表由于没有USB四个线序,该
卸,拆开后盖后,其SIM卡槽和SD卡槽清晰可见,可直连
手表輙数据。(2 )
Ticwatch手表:Ticwatch手表初始化时,可在两
个系统选择其一进行初始化,一个系统内核为Android
接口只能充电,无法传输数据;采用无线感应充电的手表,
由于没有外露的USB接口,USB调试不适用;有的虽然有
5.1,另一个是Wear
OS系统,如果初次启动选择Android系
统后,系统的USB调试可以打开,提取手表中数据的方法
和取证Android
相同。(3
)华米2手表:在华米手表的“系统安全-华米实
USB接口,但该接口仅能充电,不能传输数据,也不能进入
调试模式;还有的系统中没有开放任何调试接口(蓝牙、
W-Fi等),女"J米的米兔3手表等。(二)
尚无专门的、成熟的智能手表取证工具软件由于智能手表种类繁多、操作系统各式各样、功能模
块配置各异、接口标准不一等因素制约,目前还没有针对智
验室”选项中可开启USB调试模式。(4 )
Galaxy
Gear
SM-V700手表:Galaxy
Gear SM-
V700是三星的第一代手表,搭载的是Android
4.3的系统,
提取手表中数据方法和取证Android手机相同。{ 5 )
Moto360第一代手表:Moto360第一代手表的表
带下方隐藏着可进行USB调试的触点回,以提取数据和镜
能手表电子数据取证的专用工具或软件。市售的支持通过
USB接口提取数据的取证软件大多不支持对智能手表进行蓝
牙和Wi-Fi调趣证。像。2.通过蓝牙调试(三)
芯片级取证的方式难度较大、风险较高芯片级取证的方式也可用于智能手表取证,例如公安
部物证鉴定中心的研究人员成功通过芯片取证的方式读取了
通过蓝牙调试的操作步骤较为繁琐,需要一台取证专
用计算机和一部与手表相配对的手机配合进行操作,如图
GEAK
Watch
Pro手表镜像%但是芯片级取证对取证人员
的技术要求非常高,例如三星Samsung
Gear
2
Neo
SM-
3所示。具体操作步骤如下:R381拆解后发现,其CPU、内存和芯片堆叠在一起,剥离
困难,又例如Gear
S2 SM-R730T的存储芯片非通用芯片,
针脚定义不常见,读取镜像困难。图3蓝牙调试工作模式示意图(1
)打开Wear
OS的"开发者选项”,进入Wear
OS系统桌面,在”设置_系统-关于”路径下,连续点击版
本号(Build
number)旳数次,设备即会开放"开发者选
图2
Gear
S2
SM-R730T拆解图、存储芯片图项",如图4所示;54
廳匿3
2019年第6期
入的网络SSID号。若手表出现图6的提示信息,说明这个
W-Fi有密码,此时需要在配对手机和手表处于蓝牙连接状
态下,在手机弹出窗口中输入Wi-Fi的网络密码,使手表进
入同一网络。如果Wi-Fi网络为无密码的公开网络,就不需
要酉珂手机,也设置密蹄作。在这种情况下,没有
配对手机也能对智能手表进行Wi-H调试取证;图4
Wear
Os系统中出现开发者选项示意图(2)在手表的“开发者选项”中,选择启用adb调试
TRJNM4M■■■入IW模式和通过蓝牙调试;(3
)通过USB数据线将配对手机连接至安装有
程序的电脑,打开手机USB调试模式;8图6加入WLAN网络需要在配对手机上输入Wi-Fi密码(4
)在配对手机的Wear
OS应用软件中,点击选择
”高级设置-通过蓝牙调试”
o此时电脑即可通过配对手机
进行端口转轴再ail®牙与智能手表进fia信;(5
)在计算机端输入”adb
devices"命令返回手机编
(4)手表加入Wi-Fi,点击SSID,观察手表的IP地址
和MAC地址,并记录。本次实验中手表的IP为
192.168.100.118,如图7所示;号,不同手机编号是不同的字符串。执行adb
forward
tcp:4444
bcalabstract/adb-hub命令同,如果不提示错误,
说明命令已经执行。执行adb
connect
127.0.0.1:4444,手表
端会弹出一伍否允许调试的对话界面,点击允许。此时即
可通过adb
shell对智能手表进行adb命令调试。若执行adb
backup没有反应,说明该wear
Os系统不支持备份。3.通过Wi-Fi调试Wi-H调试比蓝牙调试简单得多,通过Wi-Fi连接不容^
掉线,且不需要通过配对手机作为中间转发,但如果WiFi 网络有密码,
则需要通过配对手机输入密码,如图5所
(5
)检查电脑的Wi-Fi网络P地址,确保和手表WiFi
网络P地址在同一路由器网络中;(6)在取证计算机端通过adb命令,连接手表的IP地
示。具体操作步聚®下:址。命令格式如下:adb
tcpip
”端口号”,端口号一般是
5555,其他没有被占用的端口也行回,再输入adb
connect
192.168.100.118:5555,连接成功的话,取证电脑就和手表
通过W-Fi建立了
adb调试通道。(二)通过现有工具进行取证前述能够打开USB调试的手表,大多都可以直接通过
现有手机取证工具软件进行数据提取。但部分使用USB充
电的Wear
OS系统手表不识别USB接口、不支持USB调
图5
Wi-Fi调试工作模式示意图(1
)使取证计算机和智能手表连接同一Wi-Fi无线路
由器;试、不能使用USB接口传输数据,这种情况需要先把建立
好蓝牙或Wi-Fi调试通道的手表连接到取证专用计算机的
USB接口,执行adb
recovery命令后,手表界面上出现一个
(2
)打开Wear
OS的"开发者选项”,操作步骤同
红色感叹号,这时电脑提示已经识别新USB设备,即可使
上;(3
)在Wear
OS系统的"设置”选项中打开“网络连
用手机取证软件提取该手表的电子数据。部分国产系列手表
可采用此方法测试。以上方法可提取机身信息、短信、通话记录、联系人接”,选择WLAN,在W3N中选择“添加网络”,找到加Police
Technology
2019年第6期
55
等常规信息。由于WearOS为Android
8.0.0的系统,且不支
机上备份提取伙伴APP数据要简单、方便、实用得多。对
配对手机的伙伴APP备份数据进行提取的过程并不复杂,
持系统备份,无法提取微信、QQ、运动APP等应用程序内
容。如果能够获得系统r8t权限,则可提取到更多的应用程
困难的是备份数据的解析。智能手表的伙伴APP众多,而
臧据。(三)
通过代理APP取证对于无法通过手机取证软件提取电子数据和无法开启
目前手机取证软件能够解析的智能手表伙伴APP应用数据
十分有限。经实验,大部分智能手表的伙伴APP数据存储
于sqlite数据库加密文件中,其加密算法较复杂,思路可以
USB调试的智能手表,项目组设计开发了一款代理APP,可
以提取无线充电的智能手表电子数据。该他APP通过Wi通过查询数据库,把结果写成文本,然后通过Python或
Lua语言写出解密脚本来解密文本以获取数据明文,如某
手表的伙伴APP的sqlite数据库文件能够使用Navicat
Premium打开,包含短信息、位置信息、聊天信息、轨迹
Fi调试或蓝牙调试安装后进行工作,
取回数据通过Wi-Fi回
传到取证专用计算机进行展示。如果智能手表没有开放蓝牙
或Wi-Fi调试,也可以把该代理APP上架到应用市场中,使
等,其部分字段内容采用非标准的base64编码,如图8所
示。仅有少数APP备份后直接解压tar包,发现其数据存储
的sqlite数据库文件没有加密。用智能手表联网的功能下载该代理APP运行后,提取电子数
据并通过Wi-Fi回传到取证专用计算机进行展示。该憎APP必须使用WearOS系统的API进行设计,考虑
到兼容性,最低SDK为Android
6.0,并采用Google推荐
Koflin语言进行程序设计,为了读取穿戴设备数据必须在
AndroidManifest开放
ACCESS_COARSE丄OCATQN、
READ
_PHONE_STATE、READ_CALL_LOG、WRITE
_CAI_L_LOGS
READ_SMSs
READ_COWTACTSs
WRITE
.CONTACTS、
INTERNET.
READ_
EXTERNAL.
STORAGE,
WRIIE_EXTERNAL_STORAGE等权限。由于高
图8
SQLite数据库中的数据内容四、结语目前,智能穿戴设备和物联网取证技术研究在国内还
处于起步阶段,智能手表需要研究的内容还很多,如嵌入式
版本Android安全机制的原因,需要使用RequestPermissions
函数和取证人员交互确认这些权限是否开放。只要取证人员
赋予权限,代理就可以读取穿戴设备上的位置、状态、通话
设备的串口调试、通过JTAG提取存储芯片固件的镜像内
容、研究Tizen系统的取证方法及云端数据取证等。由于深
记录、短信、联系人、互联网、读写存储器等权限。其中通
话记录、短信、联系人使用系统ContentProvider接口中的
ContentResolver类的query函数使用标准Uri进行查询,把查
入研究时间太短,以上对于智能手表取证的内容仅仅是f
开端,记录下来,以期抛砖引玉。日询到的内容保存成如格式文本文件,并通过互联网http协议
或套接字上传至取证计算机进行信息展示。代理通过
GetSystemService
(
ONY_SERVICE
)系统函
数获得TelephonyManager对象,利用其属性得到智能设备的
参考文献[1]
王晨,王朝.浅析维pie
Watch取证技术与方法必中国新通信,
2016(05):35-38.设备编号、软彳牛版本、网雄营商代号、IMEL
IMSk网络
运营商名称、手机制式、蜂窝状态信息、SIM卡的国别等信
息。代理APP还可以扩展开发具有读取图片、文本、数据库
的功能。苹果手表也可尝试该思路,用XCode开发代理进行[2]
赵露,康艳荣,郭丽莉,龙源.智能手表电子物证取证方法研究
[)].刑事技术,2018年第43卷第1期.国
搜狐数码.Moto360被黑客破解可刷其他ROM[EB/OL].
Http:///20140^7/n404700124JhtniL[4]西迪基•哈米德,贾伟德•奇达.精通Android
Wear应用开发
机械出版社,2017.(四)
通过配对手机中的伙伴APP备份进行取证[5|
David
CuartieHes
Ruiz
Andreas
<3靳晓辉译.Android可
穿戴设备高级编程清华大学出版社.目前智能手表的大多应用数据向智能手机终端同步汇
集,这为从手机提取智能手表的数据提供了条件。相对于
从取证人员较为陌生的操作系统(如Wear 0Ss
Tizen、
[6]
浅咸.ADB
Wi—E
的使用[EB/OL].
Https://t/webdn
_40441128血心/(^8/80170681.[7]
MizarThn.小
米运动手环数据导出[EB/OLJ.
Htips://blog.
csdrin^/mizartian/aitide/details/、LiteOSs
tiewear)上提取APP数据,直接从配对手
56晝察阿2019年第6期