【物联取证系列】物联设备取证涉及的这些技术，你get到了吗？

物联网是继计算机、互联网之后世界信息产业发展的第三次浪潮，中国政府提出了“感知中国”产业发展战略，并把物联网正式列为国家五大新兴战略性产业之一。

智能家居设备

物联网中很重要的一部分是智能终端设备，即感知设备。物联网终端设备开发涉及的技术从底层到上层大致可分为：硬件层、驱动层、操作系统层、文件系统层以及应用层。因此，物联网终端取证技术也需要针对每一层级技术进行研究归纳。每一层级大致对应一个取证技术方向，从底层到上层分别为：数据提取技术、权限绕过技术、镜像重组技术、文件系统解析及恢复技术、应用解析技术。

物联网终端取证技术框架

物联网智能终端相对于传统的计算机和手机取证，存在着“主端”限制，物联网终端的外部接口往往只提供介质读取的功能，而限制了从终端获取数据的功能，因此物联网智能终端数据提取需要研究内部接口来突破“主端”限制。如通过智能终端设备开发调试用的TTL、CAN等接口，或者存储芯片调试相关的ST-LINK、Sop8、EMMC等接口。

基于Sop8接口的路由器取证技术

物联智能终端设备，为了便于升级调试，通常在外部或者主版本上预留有USB、网口、串口等，这些接口成为了取证的主要入口。通过这些接口，可运行自定义的系统内核来绕过原系统权限认证机制。

该技术难点在于自定义内核开发，需要结合硬件分析技术、底层设备驱动开发技术、系统内核裁剪技术等，并重新编译打包内核镜像。如果系统引导具有校验机制，需结合逆向分析技术确认校验规则，并生成带有校验段的内核镜像，最终通过系统引导中加载外部系统的相关命令，装载自定义系统镜像，绕过系统权限认证机制并提取完整的存储芯片镜像数据。

基于USB升级口的电视盒子系统权限绕过技术

物联智能终端设备大多采用Flash存储芯片。Flash采用负载均衡的方法来管理，因此提取的芯片镜像，其逻辑地址与实际物理地址的关系是无序的。研究无序镜像重组技术也是物联网取证的重要课题。

分析方法：由于不同芯片具有不同的数据块映射机制，因此需要研究存储芯片的存储类型和特征。通过分析存储芯片的管理区和数据区的特征，提取数据区到实际文件系统结构的映射表，通过映射表将数据区重新组合最终还原成完整的文件系统格式数据。

无序芯片镜像重组技术

由于物联网智能终端的存储介质往往是容量较小的Flash介质，需要具有压缩、磨损均衡等功能特性的特殊文件系统来支持，主要涉及的文件系统类型有EXT4，TEXFAT，FAT32，FAT16，FAT12，UBIFS，QNX4FS，QNX6FS，JFFS\JFFS2，YAFFS等。

分析方法：根据不同的文件系统类型，在研究其分区类型，数据存储结构，元数据特征，文件数据管理机制的基础上，通过分析其卷结构、文件目录结构及文件数据扇区映射方式等实现特殊文件系统的解析及删除恢复。

文件系统解析及恢复技术

随着物联网时代安全意识的增强，越来越多的物联网应用数据都进行了安全加密，对取证技术要求也越来越高，因此加密应用破解技术在物联网取证技术中也越来越重要。与传统的Android平台、Windows平台逆向破解不同的是，物联网加密方式更加多样，存储格式差异较大，仿真调试环境搭建复杂。

应用程序解析常用的分析技术，包括：通过逆向工具分析智能终端应用数据加密算法，突破类Android设备的智能终端；通过搭建在线仿真环境实现固件仿真功能突破智能终端应用加密流程；通过多次反复造数据、结合取证大师等二进制分析工具对比分析自定义格式数据，来最终实现应用明文数据的解析；通过研究文件特征、写入更新方式来实现各智能终端领域的删除数据恢复，如数据库恢复技术、音视频恢复技术、特殊文档恢复技术、日志恢复技术以及自定义格式数据分析技术。

应用解析技术

无人机厂家自定义数据

本篇介绍了从物联网终端底层到应用层取证涉及的数据提取技术、权限绕过技术、镜像重组技术、文件系统解析与删除恢复技术以及应用解析技术五大物联网终端取证技术。

随着5G + AI智能时代的到来，智能设备势必会日益丰富，涉及的技术也会趋于多样和复杂，物联网终端取证将不可避免面临更为严峻的挑战。作为国内电子数据取证行业龙头，美亚柏科将发挥在电子数据取证领域的技术优势，持续在物联网取证领域深耕，为推进物联网取证行业发展贡献美亚力量。

下期【物联取证系列】

我们将分享《物联网存储芯片介绍》 

敬请期待

校对：李银河 蓝雅琦