第一代HomePod是苹果公司开发的一款智能音箱，提供高质量的音频和一系列功能，包括Siri集成和智能家居控制。与其他电子设备一样，其存储有重要的信息，可能对取证调查有价值。本文我们将探讨如何使用适用于取证的checkm8提取，来访问存储在HomePod中的数据，包括钥匙串和文件系统镜像。我们还将阐述提取这些信息所需的工具和详细步骤，通过本篇文章你将对如何从第一代HomePod中提取数据以及这种提取方法的潜在限制有更好的了解。

要从第一代HomePod中提取数据，请遵循以下步骤：

1. 启动iOS Forensic Toolkit 8.0 (Mac)

2. 用USB适配器将设备连接到电脑上（你需要一个定制的适配器来连接HomePod）

3. 将HomePod设为DFU模式（见下文）。

4. [可选]运行./EIFT_cmd info以确保HomePod进入DFU模式。

5. 运行./EIFT_cmd boot

6. 运行./EIFT_cmd unlockdata

7. 运行 ./EIFT_cmd ramdisk keychain -o {filename}来提取钥匙串。

8. 运行 ./EIFT_cmd ramdisk tar -o {filename}来提取文件系统镜像。

9. [可选]运行./EIFT_cmd ssh halt来关闭设备的电源。或者，直接拔掉插头。

注意：只要保持与USB连接并倒置，会导致其无法进入到正常的操作系统。

将HomePod设为DFU模式，过程很简单。

1通过拉动电源线关闭扬声器的电源。

2把它倒过来（诊断端口朝上）。

3用适配器将其连接到电脑上。

4插上电源。

执行以上步骤后，HomePod进入DFU模式。

在测试设备上，该命令转储了大约3.84GB的数据。

可以通过拔掉插头或先运行./EIFT_cmd ssh halt来关闭HomePod的电源。

结论

访问存储在第一代HomePod中的信息需要一套特定的工具和步骤，包括使用适用于取证的checkm8提取和一个定制的USB适配器。按照所述步骤并使用iOS Forensic Toolkit 8.0，可以从HomePod中提取钥匙串和文件系统镜像。然而，需要注意的是，与其他苹果设备相比，可以从HomePod中访问的数据量可能有限，而且HomePod不能访问iCloud中的任何端到端加密数据。尽管如此，这种提取方法在取证调查中还是很有用的，并揭示了可以从HomePod设备中获得的潜在数据。我们坚信，分析HomePod、Apple TV和Apple Watch等物联网设备对调查来说至关重要。

参考链接：https://blog.elcomsoft.com/2023/03/homepod-forensics-ii-checkm8-and-data-extraction/

此文转自微信公众号：数据安全与取证，如涉侵权，请联系后台删除~