主页INET淡水谋杀案:Caroline Smartwatch & Forensics

淡水谋杀案:Caroline Smartwatch & Forensics

在过去的几个小时里,Glyka Nera 发生的妇女谋杀案震惊了整个希腊。 32 岁的巴比斯·阿纳格诺斯托普洛斯 (Babis Anagnostopoulos) 谋杀了两个无辜的灵魂这一令人发指的罪行激怒了数百名公民,结果在过去 24 小时内 Twitter 着火了。

淡水谋杀案:Caroline Smartwatch & Forensics
淡水谋杀案:Caroline Smartwatch(照片)

但是,我们不会对新闻发表评论,也不会提及这起谋杀案如何影响了我们所有人的心理,因为这不是我们的立场。 通过这篇文章,我们想关注技术如何再次证明其伟大。

也可以看看: Windows 11 泄露 看看新操作系统带来了什么!

随着事态的发展,我们不得不为不幸的卡罗琳的智能手表献上几句台词,她被证明是警察最好的盟友。 我们也忍不住想,如果智能手表不存在,我们可能永远不会知道真相,或者即使真相需要更长的时间才能揭晓。 我们心中一个更悲伤的想法是试图列出数百万其他没有智能手表指向凶手的谋杀案。

Glyka Nera 谋杀案:Caroline & Babis Anagnostopoulos

Caroline 的智能手表是贵还是便宜,是最新版还是旧版,是苹果、三星、小米等,都没有关系。 重要的是他在那里“钉住”凶手,这对家庭中不幸的狗来说,他的纯灵魂是他死亡的原因。

可能凶手巴比斯不是技术的朋友,所以他没有想过要掩盖他的“电子痕迹”。

也可以看看: 研究人员分析LockBit勒索软件的“业务”

最后,智能手表拯救生命! 通过健康警报、脉搏测量、事故警报或作为法医调查的关键要素,虽然在这种情况下实际上可能没有挽救卡罗琳的生命,但挽救了她的灵魂。

淡水谋杀案:Caroline Smartwatch & Forensics
淡水谋杀案:智能手表

下面我们提到如何 由专业专家进行智能手表取证分析 以便定位数据。 分析的一个例子是 Android 智能手表。

Android 的使用范围,即开源移动操作系统,每年都在不断扩大,并伴随着新的创新。 它始于将手机转换为智能手机,如今已达到将普通手表转换为智能手表的程度。

也可以看看: 为什么加强网络安全的多样性很重要?

Android的磨损 και η 起源 - 安卓智能手表取证

引入 Android Wear 是为了减少我们手机的持续使用,为了所谓的保持警报的目的,Android Wear 让您一目了然地控制警报。 它所要做的就是通过蓝牙连接将设备连接到智能手机,并通过 Android Wear 应用程序保持两端的活动同步。

淡水谋杀:智能手表和法医分析

技术指标

  • Android Wear 的大部分操作都依赖于智能手机,它必须与智能手机保持持续连接。
  • 始终需要蓝牙连接以保持设备同步。
  • Wear 使用连接的智能手机使用的互联网连接来使应用程序保持最新和连接。

第一阶段:研究的初始化

最后,Android Wear OS 仅属于 Android OS 系列,即它仍然基于 Linux。 因此,输入系统数据和运行 Android Wear 智能手表取证几乎与在任何 Android 智能手机/平板电脑上相同。

也可以看看: 新的网络钓鱼活动滥用 Google 文档/云端硬盘

生根 并连接设备

只有当您根设备并提供对计算机的访问权限时,才能实际访问该设备。 这意味着两者都必须能够通信和访问根文件夹。 为此,您需要激活以下选项并按照后面的其他步骤进行操作。 在我们的例子中,我们使用了 Sony Smartwatch3 (SWR50):

  • 开发者选项
  • ADB调试

在手表上启用开发者选项:

  • 点击时钟以查看选项列表
  • 向下滚动以找到“关于”
  • 点击它
  • 滚动查找施工编号并按几下
淡水谋杀案:Caroline Smartwatch & Forensics

启用后,拖回选项列表,点击开发人员选项,您可以在其中启用调试。

先决条件 by Sony Smartwatch 取证分析

Wear 已准备好通过 ADB(Android 软件开发工具包的一部分)与计算机通信。 满足更多条件要求将使设备为彻底的 Android Wear 取证分析做好充分准备。

条约 1: 如果您没有Android SDK,则需要在您的计算机上下载并安装它以进一步研究需要使用ADB Shell。

条约 2: 在 Windows 计算机上部署或尝试获得对基于 Android 的设备的内部访问时,不仅需要 ADB,还需要在机器上安装正确的 USB 驱动程序。

不同的 OEM(原始设备制造商)支持不同的驱动程序。 因此,建议安装全球支持的 ADB 驱动程序以避免冲突。 安装后,机器必须重新启动。

也可以看看: Pornhub 因未经同意而展示性行为的诉讼

设备现在已准备好连接。 使用 USB 数据线在 Wear 和计算机之间建立连接并执行以下操作:

  1. 打开命令提示符
  2. 类型:adb设备

注意:此时,如果设备未恢复为出厂默认设置,则可能会发生错误,否则将需要发送到配对设备的 RSA 密钥身份验证,这在我们的情况下是不可能的。

淡水谋杀案:Caroline Smartwatch & Forensics
  • 一旦设备显示序列号,则表示一切正常
  • 重启磨损

检查引导加载程序是否已解锁,如果发现已锁定,请将其解锁。 请记住,设备将从设备中删除所有用户数据,就像手机/平板电脑一样。 稍后,您可以刷新(升级设备功能超出其默认潜力)设备以自定义其规格和功能。 但是,设备可能会切换到砖块模式,这是最糟糕的情况,因为这种情况无法恢复。

也可以看看: 奥迪/大众客户数据在黑客论坛上出售

验证和成像

在ADB Shell中执行“df”命令时,会列出设备目录如下:

淡水谋杀案:Caroline Smartwatch & Forensics

作为任何研究过程的一部分,从未对原始/原始数据进行分析。 因此,记录的列表,即从研究的角度来看很重要的列表,必须可视化。

为了安全起见,每次进行成像时,都必须在处理前后创建数据的哈希值,以验证其真实性。

另请参阅:新恶意软件阻止受害者访问“盗版网站”

:保持设备处于写保护模式以避免在设备上输入新数据或重写现有数据,因为这将被视为数据泄露。

在这里,我们使用用于 Unix 操作系统的 Cat 命令来显示系统上的内存块。 但是,出于谨慎的目的,对象将以可能无法理解的方式显示。 要按名称更改注册顺序,请运行以下命令:

淡水谋杀案:Caroline Smartwatch & Forensics

现在,第一次对前面标记为重要的对应目录的映像过程,在ADB Shell中运行以下“dd”命令(根据说明):

在这里,MountingPoint 是要镜像的编程块,目标路径是你要保存镜像的位置,partition type 是你在进程中显示的分区类型和块大小,即上面提到的大小您代表的相应块。

您已准备好跟踪!跟踪!

一旦创建了所需内存块的取证图像,就可以开始对相应的 .img 文件进行分析。

淡水谋杀案:Caroline Smartwatch & Forensics

第二阶段索尼智能手表取证:Android Wear 数据分析

根据迄今为止进行的研究,收集到的两个最重要的事实是:

位置访问: 通过 ADB shell 访问 Wear Directory 文件夹是分析设备数据的一种可能且传统的方法。

沟通渠道: 一个人可以通过设备运行的通信渠道(即 NFC(近场通信)或蓝牙)阻止设备来轻松攻击设备。 这可能会让任何人未经授权访问通过设备和配对的智能手机交换的重要且高度私密的信息/数据。 许多用于执行此类攻击的流行方法和实用程序通常是免费提供的。

在下一节中,作为继续研究的一部分,我们将开始通过其取证图像浏览 Android Wear 系统的目录。

也可以看看: 勒索软件 如果受到攻击,许多公司将支付赎金

Android Wear 用户数据取证图像检查

Android Wear 的问题在于它无法在其系统上单独存储任何应用程序。 该过程需要首先将应用程序下载到配对的智能手机,然后将应用程序的副本下载到设备上进行同步。 Wear 上还可以安装数量有限的基于健康的基本应用程序。 聊天信使、游戏、电子邮件或其他重要小工具只能与设备同步,不能在设备上安装或使用。

因此,可以从实际上位于智能手机上的设备下载完整数据的一小部分。 这是因为设备已与手机同步并收到与其兼容的应用程序(WhatsApp、Gmail、Facebook 等)的所有可能通知。

过程中可以使用图像分析应用程序如:FTK Imager 或 Scalpel,挂载和解析目录的取证图像。 我们使用后者来放置图像并导出其 SQLite 数据库。

系统

该内存块由与设备系统完全相关的信息组成。 这包括:已安装的应用程序、默认字体、来自制造商的框架和应用程序等。

内存块名称可以用来找出谁存储了系统映像信息,然后可以执行列出所有目录的命令。 在那里您可以找到有关系统的详细信息,包括文件系统和应用程序、bin、蓝牙等目录。

数据

但是,智能手表的编程方式并不能在其中存储大量数据。 但它仍然是 Android Wear OS 最重要的文件夹之一,就像在 Android OS 犯罪学中一样。 所有存储的数据(如果存储)都是数据库格式。 它是一个 sqlite3 DB 文件,因此显然有一个共享首选项文件夹,该文件夹还包含一个配置文件,该配置文件属于所有应用程序,包括以下文件夹:日历、gms、联系人、多媒体和设置。 这些文件夹中的每一个都包含由设备对上的同一应用程序收集的相应信息。 例如,日历文件夹将存储所有事件、闹钟、重要日历日期等,标记在与 Android Wear 同步的配对设备的日历中以提醒用户。

缓存

众所周知,缓存是系统存储的与应用程序相关的数据,以便可以快速处理未来的请求。 数据通常是现有数据的副本或过去执行的计算的结果。 在 Android Wear 的情况下,数据用于相同的目的。

因此,在缓存块映像中,我们发现了一个 fstab 条目,用于指定分区和设备,或在设备上的何处以及如何使用分区,以及有关所用文件系统的信息。 因此,它总结了一个非常重要的信息存储文件。 经进一步调查,发现还存储了恢复信息、分区文件和恢复信息等。 除此之外,与Last_log、Last_install等相关的信息被证明对于跟踪目的非常有用。

此外,缓存收集的日志文件收集了日志正在被复制或转换为 last_log 的日志信息。

淡水谋杀案:Caroline Smartwatch & Forensics

结束语

如果仔细遵循所采取的步骤以及建议的预防措施,主要有助于探索 Android Wear 智能手表和从设备收集信息。 虽然发现的信息分散在不同的内存块中,但它们共同对配对设备的发现具有重要意义。 除此之外,通过查看智能手表的系统目录也可以追踪配对设备的活动,虽然它没有按原样存储完整的数据,但与事物连接相关的部分信息证明是有用的。

有用的技术信息:www.dataforensics.org

spot_img

实时新闻