隨著智慧型手錶廣為流行,數位鑑識的重點標的物也隨之擴展到智慧型手錶的領域,本文將探討智慧型手錶與智慧型手機在進行藍牙連線配對時,在智慧型手機端會遺留下哪些有關手錶的訊息,並透過ADB指令來萃取手機映像檔並搭配鑑識軟體Encase進行數位鑑識分析。
3. 取得手機緩衝區日誌紀錄檔
操作完畢之後,將USB傳輸線連接手機與電腦,進入之「手機設定 > 開發人員選項」,然後勾選USB除錯模式,輸入「adb start-server」啟動ADB伺服器。
接著使用「adb devices」指令查看Android設備是否與電腦順利連接。然後,執行「adb shell」進入ADB Server遠端操控,透過「su」以最高權限使用者身分執行,此時符號從「$」轉換為「#」,如圖5所示。
 |
| ▲圖5 啟動ADB Server。 |
4. 查看藍牙日誌紀錄
Android日誌系統提供記錄以及查看的功能,利用「logcat」這個指令就可以萃取手機緩衝區中的日誌紀錄。
在主要緩衝區(Main Buffer)與事件緩衝區(Events Buffer)中,記錄了手機藍牙連線的歷史資料,分別針對感興趣的這兩個緩衝區進行「logcat」指令擷取出日誌紀錄。
首先進行主要緩衝區的日誌紀錄擷取,在命令提示字元中輸入命令「logcat -d -v time -b main > /sdcard/main.txt」,其中「-d」指dump,將Log印出後自動結束,不會將Log清除,若下次再執行將會重頭開始列印;「-v」可用來控制輸出的格式,預設沒有印出日期時間,因此必須在後面加入「time」,告訴logcat要印出時間。
在Android日誌系統內,若要特別查看如main、system、radio、events等其他環形緩衝區,在logcat指令中必須透過「-b」參數來啟動,參數「main」為想查看的日誌緩衝區,而印出的Log會以main.txt(檔案名稱自訂)儲存於手機的sdcard,事件緩衝區擷取同上,如圖6所示。
 |
| ▲圖6 輸出Main Buffer、Events Buffer日誌紀錄。 |
5. 對手機進行分割區實體檔案萃取
使用者安裝的應用程式資料會存放於data分割區中,從這裡可以發現許多程式在執行過程中所留下的蛛絲馬跡,但沒有辦法直接在檔案系統中查看。
因此使用ADB,輸入「su」以最高權限使用者身分執行,並下達「busybox df -h」,就可以查看系統的分割區路徑、容量大小、已使用空間、剩餘空間以及掛載的檔案系統,如圖7所示。
 |
| ▲圖7 查看系統的分割區。 |
然後,針對data分割區路徑(/dev/block/by-name/data)進行dd指令的實體檔案資料萃取,執行如下的指令:
利用「dd」指令可以快速對手機進行以位元為單位(Bit by bit)的實體記憶體複製(Physical Imaging),「if」為要進行實體資料萃取的分割區,「of」為所產生之映像檔的輸出路徑,將檔案輸出到外接SD卡中,並命名輸出的映像檔為「usrdata.img」,而「conv=noerror」表示發生錯誤時還是繼續執行,「bs」則是指定Block Size,一次讀取與寫入位元組的資料,如圖8所示。
 |
| ▲圖8 以dd指令進行資料萃取。 |
完成data分割區的資料萃取,在「/storage/MicroSD」可以發現所產生userdata.img映像檔。接著執行「adb pull /storage/MicroSD/userdata.img C:\ImageData」指令,將data分割區的映像檔輸出到電腦C槽的ImageData資料夾,以利後續的檔案分析,如圖9所示。
 |
| ▲圖9 輸出data分割區映像檔。 |
6. 揮發性記憶體分析
現今大部分的行動裝置鑑識討論主要專注於靜態資料或非揮發性記憶體(Non-Volatile Memory)的鑑識,但對於並非儲存在非揮發性記憶體的資訊,例如正在執行的應用程式資料、網路瀏覽的資訊、即時通訊的訊息等,勢必受到限制。