隨著智慧型手錶廣為流行,數位鑑識的重點標的物也隨之擴展到智慧型手錶的領域,本文將探討智慧型手錶與智慧型手機在進行藍牙連線配對時,在智慧型手機端會遺留下哪些有關手錶的訊息,並透過ADB指令來萃取手機映像檔並搭配鑑識軟體Encase進行數位鑑識分析。
而環形緩衝區的容量大小,會因不同的Android設備而有所不同,從64Kb到128Kb不等,隨著時間的流逝,環形緩衝區的資料會不斷遭到覆蓋更新。
因此,時間對鑑識人員來說是頭號敵人,在犯罪剛發生時,若能立即扣押嫌犯的智慧型手機進行鑑識,才能從中發現許多重要資訊。
Android Debug Bridge
Android Debug Bridge(ADB)是一種多用途的命令行工具,可以提供使用者建立Android模擬器或是與Android設備進行連接。
透過命令提示字元下達ADB指令,可以直接對Android做存取的動作,例如刪除Android內部的檔案、將某個檔案放到Android之下,也可以得到一些目前系統的資訊,或者將Android內部的檔案抓出來等等。
Busybox
Busybox是一個遵循GPL協議、以自由軟體形式開發的應用程式,提供精簡的UNIX工具集,其執行檔尺寸小,可以提供大多數UNIX的功能。ADB環境中所提供的指令不多,若想在Android環境中執行常用的Linux指令,可將Busybox安裝在Android系統上,以補足ADB指令不足之處,好讓在Android環境上的操作更為靈活方便。
系統架構與實驗說明
本文將Root過的智慧型手機(ASUS Zenfone 2)與智慧手錶(Samsung Gear S2),透過藍牙連線進行配對,測試當智慧手機接收到Facebook與LINE通訊軟體的訊息後,會同步透過藍牙傳輸,推播顯示在智慧手錶上,針對手機端尋找與手錶相關的任何蛛絲馬跡。圖2為本實驗架構圖,表1為本實驗設備規格。
表1 本實驗設備規格
 |
| ▲圖2 本實驗架構圖。 |
本實驗的操作流程如圖3所示,接著分別來加以說明:
 |
| ▲圖3 實驗操作流程。 |
1. 取得手機使用者最高權限
對智慧手機進行取證分析時,若沒有取得手機最高使用者權限,許多系統檔案都無法存取,鑑識分析工作勢必受阻。
首先,必須先取得手機最高使用者權限。網路上已有許多取得手機最高權限的教學,找到符合手機的工具包來取得手機最高權限,而實驗手機是ASUS Zenfoen 2,作業系統版本為Android 5.0。
取得手機最高權限的步驟,分別說明如下:
下載符合ASUS Zenfoen 2的Root工具包。
點選「設定」→「關於手機」,持續點擊「軟體版本」,直到成為開發人員。
再點選「設定」→「開發人員選項」,然後勾選「USB偵錯」。
然後,將USB線連接手機至電腦。
開啟工具包,執行程式,並依照指示步驟操作。
Root成功,到Google Play安裝SuperSU,以便可以對應用程式進行權限的管控。將SuperSU存取改為預設存取,以利後續執行ADB指令操作,取得手機的最高存取權限。
在手機端安裝連結智慧手錶Samsung Gear S2所需要的軟體(Samsung Gear、Gear Plugin、Samsung Accessory Service),即可以在手機上針對手錶進行設定。
2. 下載安裝ADB與Busybox
至Download Android Studio and SDK Tools網站下載連接手機與電腦的ADB工具。
下載完畢,點選SDK Manager程式所在目錄,進入程式執行畫面,在Tools資料夾下勾選Android SDK Tools、Android SDK Platform-tools,安裝ADB工具所需套件。
安裝完成後,在此platform-tools目錄下,可以發現安裝完成的ADB程式。接著,開啟Windows命令提示字元,使用「cd」指令切換到ADB程式所在的目錄,如圖4所示。
 |
| ▲圖4 切換到ADB資料夾目錄下。 |
由於Android ADB本身所提供的指令集不多,若有需要使用到其他常用的Linux指令(dd檔案備份),必須到Google Play下載安裝BusyBox,提供Root手機精簡的UNIX工具集使用。