在物联网（IoT）平台上，设备和传感器可以通过智能应用程序进行交互，这些应用程序利用用户预先配置的自动化设置，从而产生大量的潜在取证数据。现有的物联网取证方法可以通过静态代码分析和仪器技术来确定智能环境中特定活动的相关数据来源。然而，像SmartThings这样的新型物联网平台不再在其基础设施上运行应用程序代码，这使得现有的物联网取证解决方案无法访问源代码。为了解决这一难题，本文介绍了ForenThings，这是一个用于智能环境中的犯罪现场重建的交互式框架。其主要思想是将每个物联网设备和智能应用程序转换为一个响应式代理，使它们能够协同参与安全事件的取证调查。ForenThings不是依赖静态代码分析或仪器技术，而是从物联网平台传输的设备和应用事件中重建现场情况。我们为SmartThings平台开发了一个ForenThings原型，并测试了其在正常场景和12种真实世界物联网攻击场景下的有效性。评估结果显示，ForenThings能够在智能环境中以几乎可忽略的运行时间和资源开销实现100%的数据来源透明度。