【美亚技术分享】第三期:谷歌眼镜取证技术研究

美亚柏科 美亚柏科 2015-06-24

【编者按】
  感谢美亚柏科技术专家就谷歌眼镜取证技术研究相关,整理了多方资料,与我们分享。

1 简介

谷歌眼镜(Google Project Glass)是由谷歌公司于2012年4月发布的一款“拓展现实”眼镜,它具有和智能手机一样的功能,可以通过声音控制拍照、视频通话和辨明方向,以及上网冲浪、处理文字信息和电子邮件等。

Google Project Glass的重量只有几十克,内存为682MB,使用的操作系统是 Android 4.0.4版本号为Ice Cream Sandwich (注:该平台下最常使用的文件系统为EXT3/4和YAFFS2),所使用的CPU为德州仪器生产的OMAP 4430处理器。这块晶片2011 年曾被用在摩托罗拉生产的两款手机Droid Bionic 和 Atrix 2上,音响系统采用骨导传感器,网络连接支持蓝牙和 Wifi - 802.11b/g,总存储容量为 16GB,与 Google Cloud 同步。配套的 My Glass 应用需要 Android 4.0.3 或者更高的系统版本;MyGlass 应用需要打开 GPS 和短信发送功能。

2 谷歌眼镜的取证

谷歌眼镜最新的软件版本为XE12,该版本在没有ROOT的权限的情况禁止用户获取所有的目录数据。因此,谷歌眼镜的取证流程一般为:获取ROOT权限--》获取文件数据--》文件数据分析。

谷歌眼镜ROOT权限的获取可使用Android开发工具或者ADT工具,通过向系统中刷入镜像的方式获取到ROOT权限获取到ROOT权限后可使用Shattered script(V1.3)工具从谷歌眼镜中获取文件数据或者驱动信息。下面我们就来分析一下谷歌眼镜的文件系统以及对应信息存储的位置。

2.1 文件系统结构


2.2 电量信息

信息所在目录:image/fs/system/dropbox。

可获取的信息:不同时间段的电量信息(注:时间、电量剩余100%、电压、温度等)、设备开机时间。

2.3 执行的声音命令

信息所在目录:Image/fs/data/com.google.glass.voice。

可获取的信息:执行的命令内容和执行时间。

2.4 Timeline信息

谷歌眼镜中有时间线的显示功能,用于展示最近的一些存储,如网站结果、谷歌搜索、最近拍摄的图片和其他用户的活动数据。这些信息存储在一个数据库中,数据库路径为:Image/fs/data/com.google.glass.home/databases/timeline.db。该数据库可获取如下内容:

l 可获取导航信息:导航的地址、坐标、时间等信息(注:可区分成功达到、被停止、被删除等信息类型)。

l 可获取照片和视频信息:拍摄时间、保存的文件名称、缩略图等。

Timeline信息还可以和Image/fs/private-cache缓存信息进行关联分析获取浏览过的网站数据、上网记录等信息。

2.5 媒体数据库分析

  媒体数据库用于管理和组织设备上的媒体数据,存储了图片、声音导航、录制视频、图片等的路径信息、创建时间等信息,路径为:

Image/fs/data/com.android.providers.media/databases/external.db。

2.6 蓝牙的配对信息

Image/fs/misc目录中的文件记录谷歌眼镜配对的蓝牙信息以及连接的Wifi信息。Image/fs/misc/bluetooth/bluetoothd记录了信息有:配对设备的MAC地址、设备名称、最后一次使用时间等信息。

2.7 最后一次使用时间分析

  最近活动记录一样,谷歌眼镜对用户的一些行为进行了最后一次触发时间的记录,包括:最后一次连接Wifi的时间、最后一次使用GPS导航的时间、最后一次成功通过GPS导航到达目的地的时间、最后一次Web访问时间、最后一次蓝牙配对时间、最后一次语音检索的时间、最后一次录制视频和拍摄图片的时间等等。路径为:

Image/fs/system/usagestats/usage-history.xml。

3 总结

以谷歌眼镜为代表的智能穿戴式设备将成为电子数据取证的一个新领域,该类型设备包含丰富的个人信息,设备能力几乎等同一个手机,对此类设备的取证,将成为完善证据链的关键一环。美亚柏科在对新兴领域的取证一直保持着积极探索的态度,在谷歌眼镜推出不久也采购了对应的设备进行专项研究,目前已取得一些初步的成果,后续也将继续对智能手表等穿戴式设备进行深入研究。本文所研究的内容仅仅是这个新的取证领域的冰山一角,还有许许多多的信息需要去深入挖掘,期望本文能起到一个“抛砖引玉”的作用,让更多人参与到该领域的研究。



【美亚技术分享】推荐列表

1、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选一)

2、第一期:从一起特大黑客攻击案件所引发的网络安全思考(节选二)

3、不变与改变——CEIC2015(计算机和企业调查大会)随记

4、第二期:智能汽车取证研究

5、美亚柏科信息安全学院“信息安全”征文启事





本站仅按申请收录文章,版权归原作者所有
如若侵权,请联系本站删除
觉得不错,分享给更多人看到