對Apple Watch的取證分析（續）

在取證分析方面，正如在之前的文章所討論的，我們有三個選擇:

·1.獲取配對的iphone的備份；

·3.雲(提取同步的健康資料)；

分析配對iphone的備份

iphone的邏輯提取是眾所周知的，你可以通過itunes，或者使用你選擇的取證工具(例如elcomsoft ios取證工具包) 備份iphone。

在\homedomain\library\deviceregistry.state資料夾中，我們可以找到以下四個檔案：

·historysecureproperties.plist

·statemachine-.plist

·activestatemachine.plist

·history.plist

activestatemachine.plist包含與statemachine- .plist類似的資訊，並且在進行備份時新增了在裝置上安裝的watchos版本。php大馬

在各種檔案和資料夾中，以下是最感興趣的檔案和資料夾：

可以看出，nanomail \ registry.sqlite檔案包含有關已同步的電子郵件帳戶的資訊。

在synced_account表中，你可以找到裝置上設定的每個電子郵件帳戶的顯示名稱和電子郵件位址。

在mailbox表中，你可以在裝置上設定的每個電子郵件帳戶的資料夾和子資料夾中找到電子郵件的發件人。

一些傳遞還可以具有「編碼傳遞」字段，這是乙個二進位制plist檔案，包含關於傳遞的詳細資訊。二進位制plist檔案可以從資料庫中被提取出來，並儲存為乙個單獨的檔案，並使用plist檢視器(例如plist編輯器)開啟。

在下面的截圖中，你可以在booking.com上檢視與酒店預訂相關的編碼通行證，可以使用sqliteexpert開啟編碼通行證並將其另存為單獨的檔案。

每個檔案都是乙個zip檔案：

該檔案包含：

2. resources資料夾，包含jpg格式的面部和包含資訊和元資料的plist檔案；奇熱影視

4.最新版本的watchos還無法進行越獄；

1.裝置資訊和已安裝應用程式的列表；

3.裝置日誌；

裝置資訊和已安裝的應用程式列表

這個命令會生成三個檔案:

·ideviceinfo.plist

ideviceinfo.plist檔案包含有關裝置的詳細資訊，包括硬體型號、watchos版本、序列號、udid、裝置名稱、wi-fi和藍芽位址、時區和實際設定時間。

它還包含關於磁碟總容量、系統總容量、資料總容量、可用資料總容量和本地語言的資訊。

獲取後，你就可以使用你喜歡的取證工具(在此示例中為x-ways forensics)分析資料。x-ways forensics是一款全球業界公認的計算機取證綜合分析軟體，具有功能齊全、效能卓越、介面簡潔、操作靈活等技術特點。x-ways forensics已經成為眾多電子資料取證調查人員喜愛的取證工具之一。

與原始相比，的大小進行了調整，但它們仍然可以包含有趣的元資料，如相機型號名稱和原始採集時間戳。

itunes_control\itunes資料夾包含乙個名為medialibrary的檔案。sqlitedb和相關的shm(共享記憶體)和wal(提前寫日誌)檔案。這個sqlite檔案包含一些有趣的資訊，比如使用者的icloud帳戶id，以及使用者從蘋果商店獲得的**(歌曲和電影)和電子書列表。此檔案包含關於使用與同一icloud帳戶同步的所有使用者裝置進行購買的資訊。

該資料庫包含36個表，_mldatabaseproperties表包含icloud帳戶id。

要從資料庫中提取有意義的資料，可以使用以下sql查詢：

select

ext.title as "title",

ext.media_kind as "media type",

itep.format as "file format",

ext.location as "file",

ext.total_time_ms as "total time (ms)",

ext.file_size as "file size",

ext.year as "year",

alb.album as "album name",

alba.album_artist as "artist",

com.composer as "composer",

gen.genre as "genre",

art.artwork_token as "artwork",

itev.extended_content_rating as "content rating",

itev.movie_info as "movie information",

ext.description_long as "description",

ite.track_number as "track number",

sto.account_id as "account id",

strftime('%d/%m/%y %h:%m:%s', datetime(sto.date_purchased + 978397200,'unixepoch'))date_purchased,

sto.store_item_id as "item id",

sto.purchase_history_id as "purchase history id",

from

item_extra ext

join item_store sto using (item_pid)

join item ite using (item_pid)

join item_stats ites using (item_pid)

join item_playback itep using (item_pid)

join item_video itev using (item_pid)

left join album alb on sto.item_pid=alb.representative_item_pid

left join album_artist alba on sto.item_pid=alba.representative_item_pid

left join composer com on sto.item_pid=com.representative_item_pid

left join genre gen on sto.item_pid=gen.representative_item_pid

left join item_artist itea on sto.item_pid=itea.representative_item_pid

left join artwork_token art on sto.item_pid=art.entity_pid

相應的檔案可以在通過afc協議提取的購買資料夾中找到：

photodata資料夾包含與已同步**相關的檔案，你可以在這裡找到最有趣的資訊是photos.sqlite資料庫和thumbnails資料夾。

提取裝置日誌

我們還開發了各種指令碼來解析sysdiagnose獲取過程中可用的一些檔案。這些指令碼可以從github獲得。

你可以在sysdiagnose日誌中找到一些相關的資訊:

雲取證分析

總結

對Apple Watch的取證分析（續）

linux下的lsof的使用及其在取證分析時的應用

系統映象 kali對安卓系統的映象取證

Apple TV和Apple Watch的取證分析

對Apple Watch的取證分析（續）

linux下的lsof的使用及其在取證分析時的應用

系統映象 kali對安卓系統的映象取證

Apple TV和Apple Watch的取證分析

相關推薦