王晨 王朝

【摘要】 隨著移動互聯(lián)網(wǎng)技術(shù)的日益發(fā)展，移動智能終端已經(jīng)能夠代替計算機處理很多日常應(yīng)用，而目前智能手表中最炙手可熱的就是Apple Watch。本文首先對Apple Watch作了簡要介紹，然后較詳細(xì)的闡述了Apple Watch取證以及取證過程中應(yīng)注意的問題。

【關(guān)鍵詞】 Apple Watch 電子數(shù)據(jù) 手機取證 Iphone

一、關(guān)于Apple Watch

Apple Watch現(xiàn)狀

蘋果公司在2015年3月正式發(fā)布了智能手表Apple Watch，包括Apple Watch、Apple Watch Sport以及Apple Watch Edition三種版本。 Apple Watch采用Apple S1處理器，內(nèi)置512MB RAM和8GB Flash存儲，通過Wi-Fi和藍(lán)牙與iPhone進行同步，與其同步的iPhone必須使用iOS 8.2及以上版本。

二、Apple Watch取證思路

目前，Apple Watch使用Watch OS 1.0系統(tǒng)，手表中所有App均來源于與之配對的iPhone手機，開發(fā)者可將自己的App進行Apple Watch適配并發(fā)布在App Store，在iOS安裝后，可在iPhone手機上的Apple Watch應(yīng)用中選擇推送安裝至Apple Watch，這是目前Apple Watch唯一的應(yīng)用安裝方式；Apple Watch系統(tǒng)的升級和還原也僅能通過配對的iPhone手機進行，現(xiàn)在市面發(fā)售的Apple Watch僅有的一個物理接口是未公開的調(diào)試接口，無法進行利用。

另一方面，Apple Watch應(yīng)用程序的數(shù)據(jù)多數(shù)來源于iPhone手機上對應(yīng)的程序，且這些程序的通信和數(shù)據(jù)存儲都依賴于配對的iPhone手機（iMessage例外，Apple Watch上的iMessage服務(wù)可脫離iPhone獨立連接Wi-Fi進行通信），Apple Watch內(nèi)部存儲主要用于保存手機同步的數(shù)據(jù)。

結(jié)合上述特點，我們可以初步確定對Apple Watch的取證思路：與多數(shù)智能可穿戴設(shè)備取證類似，對Apple Watch的取證工作實際上還是要基于對應(yīng)的iPhone手機，而目前iPhone手機的取證依賴于iTunes備份進行，故此次研究也將主要利用iPhone的備份進行分析。

三、取證方法

1、將Apple Watch與iPhone手機進行配對，并安裝支持的應(yīng)用程序，本次測試選取的是Apple Watch 標(biāo)準(zhǔn)版42mm，使用運行iOS 8.3的iPhone 6進行配對。

2、使用iTunes為配對的iPhone進行備份，將備份文件導(dǎo)出。

3、使用取證軟件對備份文件進行解析。需要注意的是，如果備份進行了加密，還應(yīng)先進行解密操作。

四、取證結(jié)果

4.1 Apple Watch的基本信息

Apple Watch信息：所有人，版本，區(qū)域和語言信息：

（圖1）

配對時間：使用NSDate存儲，轉(zhuǎn)換后需按照時區(qū)增加8小時，即2015年6月30日16：20：12。

Apple Watch的配對手機的版本，此處8.2.1指iOS 8.3.。

（圖2）Apple Watch數(shù)據(jù)在iPhone備份中的存儲位置。

（圖3）Apple Watch序列號、UDID、Wi-Fi適配器MAC地址、藍(lán)牙MAC地址及存儲容量信息。

4.2 Apple Watch所同步的手機數(shù)據(jù)

通訊錄和個人收藏聯(lián)系人

Apple Watch數(shù)據(jù)文件夾中映射手機AddressBook數(shù)據(jù)庫中的guid字段，但并不直接存儲通訊錄信息；Apple Watch按下按鈕調(diào)出的個人收藏聯(lián)系人也被同步到了手表之中：1、iPhone中所有App列表 ；2、Apple Watch中已安裝的App列表 ；3、Apple Watch中同步的Passbook信息 ；4、Apple Watch中同步的郵件賬戶和郵件id。

4.3 Apple Watch App數(shù)據(jù)

目前市面上使用WatchKit開發(fā)的程序，在Apple Watch上安裝后，配對的iPhone手機中均會生成獨立的文件夾，并單獨保存數(shù)據(jù)，除非程序額外定義存儲位置。以微信為例，使用Apple Watch的用戶在收到微信消息后，iPhone端保存數(shù)據(jù)并推送給Apple Watch，在Apple Watch對應(yīng)的數(shù)據(jù)文件夾下也會保存所有Apple Watch上使用過的表情、語音信息和文本聊天記錄，乃至所發(fā)送的位置信息。

五、后續(xù)研究

由于Apple Watch上的iMessage可脫離所配對的iPhone手機使用，說明iPhone中已認(rèn)證的Wi-Fi網(wǎng)絡(luò)鑒權(quán)信息也存儲在Apple Watch上，猜測甚至部分keychain信息也被同步到Apple Watch，在有條件的情況下，可以通過Apple Watch提取Wi-Fi鑒權(quán)信息。

Apple Watch上的“信息”應(yīng)用與iPhone手機上的“信息”進行同步，但就目前的研究來看并非實時同步，iPhone手機刪除的部分信息仍存在于Apple Watch中，同時，存儲在服務(wù)器的iMessage信息即使在iPhone刪除后仍然保留在Apple Watch上或由蘋果服務(wù)器推送至Apple Watch；如能實現(xiàn)針對Apple Watch的完整提取將可以找到較多手機中已被刪除的有價值數(shù)據(jù)。

部分Apple Watch上安裝的第三方App所保存的數(shù)據(jù)，在iPhone端刪除后并不會在Apple Watch上同步刪除，可以作為iPhone App數(shù)據(jù)刪除恢復(fù)的來源。

參 考 文 獻

[1]高峰；iPhone手機取證的應(yīng)用研究[J]；警察技術(shù)；2011年03期

[2]秦海權(quán)；史麗娟；智能手機取證內(nèi)容及流程分析[J]；警察技術(shù)；2014年05期

[3]彭建新；周元建；iOS設(shè)備取證技術(shù)研究[J]；中國人民公安大學(xué)學(xué)報（自然科學(xué)版）；2012年04期

[4]高建華；智能手機取證的應(yīng)用研究[J]；計算機安全；2013年09期