本文由小茆同学编译,陈裕铭、Roe校对,转载请注明。
如何将Apple Watch Series 3手表连接至计算机,哪些数据可用以及如何基于checkm8进行数据提取?请参考这篇综合指南。
USB适配器
市场上有多种类型的Apple Watch适配器,其中一些如下图所示:
本次我们使用上图左下角显示的S-Dock适配器。
请阅读之前的文章:Apple Watch 取证:适配器。请注意,你需要一个与Apple Watch Series 3兼容的适配器。下图展示了Apple Watch如何接入适配器。
兼容性
本指南适用于运行任何版本的watchOS的Apple Watch Series 3设备。
先决条件
因为Checkm8是一个复杂的漏洞利用程序,需要几个先决条件来确保提取能够顺利进行。
1. 一台 Mac电脑。你需要一台Mac电脑来安装该漏洞并进行提取。
2. iOS取证工具包
3. Apple Watch Series 3。该Apple Watch可置于DFU模式。
4. Apple Watch密码必须已知或为空。否则,有限的BFU提取可能是可用的,但以这种方式可获得的信息很少。
5. 兼容的 USB 适配器,用于将手表连接到计算机。
6. 与设备上安装的watchOS版本相匹配的官方Apple固件。
请注意,虽然Apple已经部分修补了iOS 14和15中的漏洞,但基于这些iOS版本的watchOS 7和8并未被修补。因此,应用该漏洞时不必删除监视屏幕锁定密码。
checkm8提取
提取时,请按照以下步骤操作:
1. 运行iOS 取证工具包
2. 通过USB适配器(处于关机状态)将 Apple Watch 3 连接到电脑
3. 将Apple Watch置于DFU模式
4. 运行 ./EIFT_cmd boot
5. 运行 ./EIFT_cmd ramdisk unlockdata -s(出现提示时输入密码,不知道密码则输入回车)
6. 运行 ./EIFT_cmd ramdisk keychain -o {filename} 提取钥匙串
7. 运行 ./EIFT_cmd ramdisk tar -o {filename} 提取文件系统
8. 运行 ./EIFT_cmd ssh halt 关闭 Apple Watch
BFU提取及分析数据
如果不知道屏幕锁定密码,只需在出现提示时按ENTER键即可。尽管会出现"设备不可解锁"错误提示,但仍然可以执行有限的BFU(首次解锁前)提取。
提取数据后,可在取证工具中加载文件系统镜像和钥匙串的副本以采集特定数据。
原文链接:
https://blog.elcomsoft.com/2022/02/checkm8-extraction-of-apple-watch-series-3/
参考链接:
https://blog.elcomsoft.com/2021/08/apple-watch-forensics-the-adapters/
https://blog.elcomsoft.com/2019/06/apple-watch-forensics-02-analysis/
https://blog.elcomsoft.com/2019/09/apple-tv-forensics-03-analysis/
https://blog.elcomsoft.com/2022/02/checkm8-extraction-of-iphone-8-8-plus-and-iphone-x/
原文始发于微信公众号(数据安全与取证):checkm8提取Apple Watch Series 3
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论