第三十五期 物联网取证（附试题）

编

者

按

物联网作为互联网的延伸，被称为世界信息产业的第三次浪潮。随着微型传感器等技术的发展，接入物联网的设备越来越多，物联网正向万物互联网方向发展。

全球物联网应用仍处于发展初期，Verizon在2015年的物联网报告中预测2011年到2020年之间的企业对企业的物联网连接每年将以28％的速度增长。埃森哲在其2015年的工业物联网市场定位报告中预测，到2030年，单纯美国的工业物联网将价值7.1万亿美元，将支持效率、安全、生产力和service provisioning的增强。M2M（机器与机器通信）、车联网、智能电网是近两年全球发展较快的重点应用领域。可穿戴设备、智能家庭产品、照明设备和其他的智能设备正在成为主流。

目前，我国物联网发展已经初步具备了一定的技术、产业和应用基础，呈现出良好的发展态势。据工信部数据显示，我国物联网产业规模从 2009 年的 1700 亿元跃升至 2015 年超过 7500 亿元，年复合增长率超过 25％，充分体现了其强劲的发展势头。到2020年，我国物联网的整体规模有望突破18000亿元。

而随着物联网产业市场的扩大，物联网安全问题越发凸显，成为制约物联网大规模应用的重要因素。在全球顶级的安全领域会议之一RSA2017安全大会上，物联网安全登上了话题榜首，物联网设备安全该如何防护成为了安全行业关注的重要领域。全球顶级取证会议DFRWS 也将2017-2018的取证挑战焦距在物联网取证这个新兴领域，希望通过全球共同的研究来推动物联网取证领域的最新技术。

本期公众号，小编将和大家讨论一下物联网取证与传统电子数据取证的区别，并附上DFRWS的挑战试题，希望大家如果感兴趣的话可以一起研究探讨。

物联网与传统电子数据取证区别

传统的电子数据取证模型有很多，但是都不外乎是：识别、收集、提取、分析、呈现这样一个过程。取证的对象包括计算机终端（包括PC，笔记本，服务器等终端）、移动终端设备（手机取证，可穿戴设备、平板等）等。

而当前的物联网是结合大数据与人工智能的新一代网络，物联网取证代表不同的基于物联网基础设施的取证，这些基础设施可以使用不同的方法进行取证，一般分为：云取证，网络取证和设备级取证。物联网取证的数据提取方式一般为固件提取，主要在于存储介质不容易拆卸读取，没有常见数据传输接口等特点导致。

一、云取证

大多数基于物联网的设备通过在虚拟化环境中共享资源，通过应用程序在网络上进行交互。需要注意的是，基于物联网的云环境中的大多数攻击都针对云环境中生成的数据。这是因为安全威胁不断扩大，大部分数据正在向云端转移。

二、网络取证

网络取证代表基于不同类型网络的物联网环境。 在这些环境下，可以提取可用于进行电子数据调查过程的攻击记录。 这可以是家庭网络，工业网络，局域网，城域网和广域网。 从这些环境中提取的任何潜在证据可能被用于基于物联网调查之后在法庭中使用的证据。

三、设备级取证

这涉及从物联网设备收集潜在的电子证据。 

01

证据种类的区别

02

操作系统平台的区别

03

网络的区别

04

应用的区别

05

硬件平台的区别

2017-2018 DFRWS挑战

任务介绍：

一名女性(Betty)被谋杀了。这场谋杀是由Betty的丈夫(Simon )报警的，他声称自己当时在家。更多的案例细节可以在1案情介绍里找到。你的工作就是对获取的文件（2 数据采集）进行分析，以查明案情。（时区: UTC+9）

1

案情介绍

2012-07-17 15:31

Chuncheon应急服务中心接到了当地公寓经理的电话。一个住在公寓大楼的人声称他的妻子在他们的公寓被袭击了。警察响应。

2017-07-17 15:40 

警察到达现场，在公寓外找到了丈夫(Simon Hallym)和公寓经理(KIM Kil)。

公寓被保护了，一名女性躺在客厅地板上。她已经停止呼吸，没有脉搏。从最初的评估来看，她似乎被多次刺伤。医生到达后确认她已经死亡。

2017-07-17 15:50 

调查人员询问建筑经理(KIM)和丈夫(HALLYM)。在公寓经理声称，HALLYM先生跑下楼梯，尖叫着寻求报警。第3部分为对Hallym先生的审讯的完整记录。

2017-07-17 15:50 

对公寓的搜索显示了以下电子设备:

1 .大门上的门传感器

2.架子上的运动传感器

3.受害者(Betty Hallym)尸体被发现的地板上的腕带

4.受害者(Betty Hallym)尸体被发现的地板上的手机

5.亚马逊Echo

6.连接到SmartThings Hub和IPTime交换机的谷歌OnHub wifi路由器

7.三星Smart things hub

8.IPTime Switch OnHub (6)和Modem(ISP)

9.通过HDMI连接电视的Raspberry Pi

10.蓝牙耳机

11.卧室门上的门传感器

12.丈夫(西蒙·哈利姆)手机

2

      数据采集

1、Betty Hallym的三星Note II(黑色)

    -/002-BettyNote2Black/SHV-E250L_Physical_     20170717/

2、Simon Hallym的三星Note II(白色)与三星SmartThings应用

3、Simon Hallym的三星Note II(White)的镜像

    -/003-SimonNote2White/SHV-E250S_Physical     _20170718/

4、Raspberry Pi (SmartTV) 镜像

    -/003-SimonNote2White/SHV-E250S_Physical     _20170718/

5、从谷歌OnHub获得的诊断报告

    - 004 - onhub诊断报告

6、从Amazon Echo / Alexa Cloud UI获得的数据

    -005-Amazon-Ech-Alexa-Web-Scrape

7、从Acme公司获取的SmartHome网络流量日志

    -006-SmartHome-Cloud-Provider-AcmeInc-NetworkDump.tcpdump

上述文件的下载地址（官方）:

https://nas.cybercrimetech.com/owncloud/s/DjrbKKbWb9PT4pU

由于官方的地址由于某些原因可能无法下载，您也可以进入小编的网盘进行下载。

链接:http://pan.baidu.com/s/1qYt4yYC  

密码:bj32

3

      Simon Hallym的讯问笔录

1.你的全名是什么?

——Simon Hallym

2.你从事什么工作?

——我是电脑程序员。

3.你住在这个家里吗?

——是的，我和Betty住在一起。她是我的妻子,Betty Hallym。

4.你能描述一下发生了什么事吗?

——我在看电影。看完电影后，我走进客厅，发现了她躺在地上。

5.你知道谁会想伤害你的妻子吗?

——没有。没有人。

6.她在这个地区有朋友或熟人吗?

——我不这么认为。我们刚刚搬到这里。

7.你在哪儿看视频?

——我在我们的卧室里。

8.你还记得什么时候吗?

——大概3点?我记不太清楚。可能3点左右。我想那是我们回家的时候。

9.当你在看视频的时候，你没听到什么吗?

——她听音乐，所以我用耳机。我什么都没听到。

10.你还记得你在看什么吗?

——Youtube上的一个剧。

11.我们在你家里发现了SmartThings传感器。你能访问这些数据吗?

——是的，我的手机上能看。

12.我们可以访问您的电话吗?

——是的,没问题。

 

小编语录

本期公众号，小编介绍了物联网取证与传统取证的区别，并分享了DFRWS 2017-2018的取证挑战试题。大家如果对本次的试题有研究心得，欢迎与小编进行交流！

后面几期，小编将继续为大家介绍关于物联网中设备的取证，包括Nest、Winhub、SmartCam、Smart TV、Canary等。如果大家有这方面的研究心得，也欢迎与小编进行交流！

大家如果有好的技术文章，也欢迎给我投稿，共同促进取证事业的进步。更多精彩内容尽请关注“电子数据取证与鉴定”。