欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

对Apple Watch的取证分析(续)

来源:本站整理 作者:佚名 时间:2019-07-09 TAG: 我要投稿

在过去几年中,智能可穿戴设备的使用显著增加。2018年智能手表销量达1.41亿部,智能可穿戴设备销量同比增长近一倍。在激烈的市场竞争中,Apple Watch占据了主导地位,2018年可穿戴设备销量超过2250万台,占据了全球市场近一半的份额。
从2015年开始,苹果总共生产了五种不同型号的WatchOS。WatchOS是一款基于iOS的可穿戴操作系统,专门为Apple Watch开发。
2015年,希瑟•马力克(Heather Mahalik)和萨拉•爱德华兹(Sarah Edwards)对Apple Watch进行了初步的创新研究,该演示文稿可以在Sarah Edwards的GitHub账户上找到(PDF)。
从那时起,就没有多少关于如何从这类设备中提取数据的研究。在过去的几个月里,我一直在研究如何提取和分析存储在Apple Watch内存中的数据。
在取证分析方面,正如在之前的文章所讨论的,我们有三个选择:
· 1.获取配对的iPhone的备份;
· 2.直接将Apple Watch连接到电脑上;
· 3.云(提取同步的健康数据);
分析配对iPhone的备份
iPhone的逻辑提取是众所周知的,你可以通过iTunes,或者使用你选择的取证工具(例如Elcomsoft iOS取证工具包) 备份iPhone。
一旦提取了iPhone备份,就可以对其进行分析,以获得配对的Apple Watch的信息。在本文中,我将使用两个很棒的工具,分别是Windows和MacOS都可用的iBackupBot和Windows的SQLite Expert,我们可以通过分析规格型号来开始调查Apple Watch。
在\HomeDomain\Library\DeviceRegistry.state文件夹中,我们可以找到以下四个文件:
· historySecureProperties.plist
· stateMachine-.PLIST
· activestatemachine.plist
· history.plist

historySecureProperties.plist文件包含配对Apple Watch的序列号、UDID (UniqueDeviceIdentifier)、Wi-Fi Mac地址和BT Mac地址。

stateMachine-  .PLIST文件包含配对状态(通常包含值PairSuccess)、配对时安装在Apple Watch上的WatchOS版本和配对时间戳(以Apple Cocoa Core Data格式存储)。

activestatemachine.plist包含与stateMachine-  .PLIST类似的信息,并且在进行备份时添加了在设备上安装的WatchOS版本。
\ HomeDomain \ Library \ DeviceRegistry文件夹包含一个名为stateMachine-  .plist文件的GUID的子文件夹:此文件夹包含来自AppleWatch的备份数据。

在各种文件和文件夹中,以下是最感兴趣的文件和文件夹:
NanoAppRegistry文件夹,包含有关已安装应用程序的信息。在下图中,你可以找到有关Facebook应用程序的信息,以及绑定Bundle版本、显示名称、绑定Bundle标识符和绑定Bundle名称。

可以看出,NanoMail \ Registry.sqlite文件包含有关已同步的电子邮件帐户的信息。
在SYNCED_ACCOUNT表中,你可以找到设备上设置的每个电子邮件帐户的显示名称和电子邮件地址。

在MAILBOX表中,你可以在设备上设置的每个电子邮件帐户的文件夹和子文件夹中找到电子邮件的发件人。

NanoPasses \ nanopasses.sqlite3数据库包含AppleWatch钱包中可用的“通行证”列表。对于对于每个传递,你都可以找到Type_ID、组织名称、摄取日期(以Apple Cocoa Core Data格式存储)和描述。

一些传递还可以具有“编码传递”字段,这是一个二进制plist文件,包含关于传递的详细信息。二进制plist文件可以从数据库中被提取出来,并保存为一个单独的文件,并使用plist查看器(例如plist编辑器)打开。
在下面的截图中,你可以在Booking.com上查看与酒店预订相关的编码通行证,可以使用SQLiteExpert打开编码通行证并将其另存为单独的文件。

然后可以使用plist编辑器打开该文件,提取关于预订的特定信息,如酒店名称和地址、客人姓名、支付的价格、预订号码以及入住和退房日期。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载