隨著智慧型手錶廣為流行,數位鑑識的重點標的物也隨之擴展到智慧型手錶的領域,本文將探討智慧型手錶與智慧型手機在進行藍牙連線配對時,在智慧型手機端會遺留下哪些有關手錶的訊息,並透過ADB指令來萃取手機映像檔並搭配鑑識軟體Encase進行數位鑑識分析。
揮發性記憶體分析
智慧手錶主打的功能之一,就是訊息不漏接,當手機收到訊息通知時,會同步透過藍牙連線,推播顯示在手錶端,因此從手機端尋找藍牙連線傳輸的過程中,記憶體是否有留下任何跡證。
Memory Dump這款免費的App,可以提供經過Root手機進行記憶體資料的萃取。首先搜尋「bluetooth」關鍵字,進行記憶體傾印,如圖16所示,可以得到許多16位元編碼的檔案。
 |
| ▲圖16 尋找與bluetooth相關的記憶體資訊。 |
接著,利用HxD十?六進制Hex編輯器,將眾多的16位元編碼檔進行整合分析,如圖17所示。
 |
| ▲圖17 將16位元編碼檔進行合併。 |
將眾多的16位元編碼檔進行整合分析完成後,利用搜尋「facebook」、「line」、「bluetooth」等關鍵字,在記憶體中尋找任何可能記載相關訊息的跡證,最後發現B君透過手機藍牙連線傳送給A君手錶的LINE訊息,如圖18所示。
 |
| ▲圖18 LINE透過藍牙推播到手錶的內容。 |
從LINE的訊息中,可以得到A君和B君利用通訊軟體進行犯罪訊息的傳遞。鑑識人員從日誌紀錄檔、藍牙連線歷史紀錄,以及手機記憶體分析取得的資料,證明A君確實使用智慧手錶與手機進行連線,A君手機端接受到B君傳送相關的犯罪訊息,並同步推播到A君的手錶端。比對傳送的內容與案發時間點,B君才俯首認罪,承認參與A君的犯罪行為。
結語
生處在科技日新月異的時代,人們在追求更便利生活的同時,科技產品亦恐淪為犯罪工具,原本以手機為主的數位犯罪模式,如今擴展加入了智慧型手錶,新設備的加入,勢必對鑑識人員造成挑戰。
目前尚未有商業鑑識軟體支援智慧手錶的鑑識分析,智慧手錶的取證分析上也較為困難,但還是可以從連線的手機端著手,分別對手機的記憶體檔案空間和揮發性記憶體進行分析,尋找手錶可能在手機端留下的任何跡證,交叉比對驗證證據間彼此的關係,有助於調查人員進行後續的偵查動作。
<本文作者:中央警察大學資訊密碼暨建構實驗室(ICCL),民國87年12月成立,目前由王旭正教授領軍,實驗室成員共有20名,並致力於資訊安全、資料隱藏與資料快速搜尋之研究,以確保人們於網際網路世界的安全。(http://hera.im.cpu.edu.tw)>