Apple TV和Apple Watch的取证分析

虽然iPhone是苹果的主要系列产品，但并不是该公司唯一生产的产品。比如苹果还有Mac(台式机和笔记本电脑)、平板电脑(iPad系列)、音乐设备(HomePod)、可穿戴设备(Apple Watch)和Apple TV。在今天的文章中，我们将讨论如何从Apple TV和Apple Watch中提取数据。它们确实包含大量有价值的数据，而且往往是唯一的信息来源。

信息采集方法

一般来说，苹果设备的数据提取方法只有三种。

1.逻辑提取(备份、媒体文件、共享文件、崩溃日志和诊断日志)是最直接的方法，尽管有些限制。

2.文件系统的获取，虽然对于某些特定的设备和操作系统版本来说，该方法有些困难但也是最先进的方法。

3.从共享同一苹果ID的所有设备上获取备份或同步的信息是个不错的方法，但却需要正确的登录凭证。

这三种方法所获取的数据虽然各有特点，但事实上，它们在一定程度上是重叠的，所以如果可能的话，我们建议把以上提到的方法统统过一遍，已提取最全面的数据。Apple Watch和Apple TV的数据提取，也是遵循这个规则。PHP大马

Apple TV

我们将在本文讨论两个版本的Apple TV: Apple TV 4(最近更名为Apple TV HD)和Apple TV 4K。从我们的角度来看，这两款设备的主要区别在于USB接口。虽然Apple TV 4 (Apple TV HD)背面有一个USB Type-C端口，但新款的Apple TV 4K没有USB接口。新设备上缺少USB连接，需要使用特定的硬件(基于macos的PC或笔记本电脑)和软件(Xcode)进行连接。

Apple TV的信息获取方法有点类似于iPhone，只是有一点不同，Apple TV没有备份服务。这意味着逻辑获取仅限于通过afc协议提取媒体文件获取。这招非常管用，因为大多数Apple TV设备都启用了iCloud照片功能。另外，Apple TV无法使用密码进行保护，因此无需将其与计算机配对即可提取数据。其次，许多版本的tvOS都存在越狱的情况，这意味着你可以获取文件系统的映像并解**匙串。

在安装越狱之前，请务必使用其他方法，例如提取媒体文件（Photos.sqlite可能非常有用，因为它可能包含一些不在Apple TV上的文件的信息）：

那Apple TV越狱呢?你至少可以选择以下涵盖tvOS 10到12.1.1的工具：

ChimeraTV ，适用于tvOS 12.0 – 12.1.1；

LiberTV ，适用于tvOS 10.0-10.1, 11.0, 11.1；

Electra ，适用于tvOS 11.0-11.4.1。

安装类似于越狱iOS设备的过程。假设你的Apple TV运行tvOS 12.0到12.1.1，首先下载Cydia Impactor和ChimeraTV。通过USB Type-C电缆将Apple TV 4连接到计算机（或使用Mac和Xcode建立与Apple TV 4K的无线连接），在sideload模式中加载IPA文件（如果可能，请使用开发人员证书进行签名），并从主Apple TV屏幕运行Chimera应用程序：

此时，你的Apple TV已启动并运行SSH连接，并提供了完整的root访问权限。

现在，你可以使用Elcomsoft iOS Forensic Toolkit轻松获取文件系统的映像：

你甚至可以访问钥匙串(即使它不像iOS设备那样全面，但通常包含iCloud令牌，或者至少是wi-fi网络的密码，以及其他一些网络密码):奇热影视

最后，你可以将文件系统加载到取证软件(例如Elcomsoft Phone Viewer)或手动分析它。

如上所述，Apple TV 4K越来越难以被越狱，因为它没有USB Type-C端口。你将不得不使用XCode来建立无线连接，其余步骤则和Apple TV 4是相同的。

我们对Chimera越狱进行了大量测试，并发现它在我们的测试设备上运行良好。然而，你有时可能需要多次尝试才能真正利用漏洞。

Apple Watch

Apple Watch至今已经有五代产品了，从信息获取的角度来看，它们只有一个区别:目前还没有办法将第四代手表连接到电脑上。另外，Apple Watch没有无线信息采集的途径。

就像Apple TV一样，Apple Watch(或者更确切地说，watchOS)没有备份服务。但是，你仍然可以创建备份。Apple Watch备份将存储在与其连接的iPhone的备份中。强制Apple Watch备份的方法只有一种：你必须通过iPhone取消配对的Watch。但是，在某些未知条件下，Watch备份可能仍会定期发生，详情请点此查看。

因此，一旦你获得了iPhone的iTunes备份(或访问手机本身)，你就可以从备份中提取Watch数据。

另一种获取数据的方法是将Watch直接连接到电脑上。此时，S1/S2/S2型号很容易实现。Apple Watch有一个隐藏在表带下的端口，你将需要用别针来打开它。接下来，你将需要一个特殊的适配器，本文中，我们用的是 IBUS:

具体用法，请参考以下两篇文章：

1.IBUS for Apple Watch S1 ；

2.IBUS for Apple Watch S2,S3； 

将适配器连接到Apple Watch并不是那么容易，最后的结果应该如下所示：

iTunes提示用户与电脑建立信任关系，就像与iPhone一样:

iTunes会在你连接的Apple Watch上显示一些信息(仅限操作系统版本和唯一ID)：

现在继续使用Elcomsoft iOS Forensic Toolkit：

你可以提取Apple Watch上安装的应用程序列表:

获取日志:

最后，媒体文件（再次，特别注意Photos.sqlite数据库）：

能越狱吗?对不起，目前还没有办法。

你还可以从Apple Watch获得其他信息吗？从技术上讲，已经没有了，但还有一项来自Apple Watch的内容被藏在了iCloud中。你可以通过Elcomsoft Phone Breaker将健康数据从iCloud下载下来。Elcomsoft Phone Breaker甚至可以提取使用额外加密的数据，而苹果在满足法律要求时从未提供过这些数据。然后，你将使用Elcomsoft Phone Viewer进行浏览：

数据分析

提取数据后，下一步就是数据分析。我们将在下一篇文章中介绍，敬请关注！