2023 蓝帽杯半决赛取证

前言：初赛取证没有复现完，本来以为成绩会很低，但是比赛取证考察手机和apk取证，范围小一些 刚好赛前在突击这些方面，最终取证也没拉分 反而还提分了哈哈  记录一下  web题目考点 ...  感觉没有什么学习的意义 不写了  记录一下这次取证

目录

取证

1. 检材数据开始提取是今年什么时候？（答案格式：04-12 13:26）

2. 嫌疑人手机SD卡存储空间一共多少GB？（答案格式： 22.5）

3. 嫌疑人手机设备名称是？（答案格式：adfer）

4. 嫌疑人手机IMEI是？（答案格式：3843487568726387）

5. 嫌疑人手机通讯录数据存放在那个数据库文件中？（答案格式：call.db）

6. 嫌疑人手机一共使用过多少个应用？（答案格式：22）

7. 测试apk的包名是？（答案格式：con.tencent.com）

8. 测试apk的签名算法是？（答案格式:AES250）

9. 测试apk的主入口是？（答案格式：com.tmp.mainactivity）

10. 测试apk一共申请了几个权限？（答案格式：7）

11. 测试apk对Calllog.txt文件内的数据进行了什么加密？（答案格式：DES）

12. 10086对嫌疑人拨打过几次电话？（答案格式：5）

13. 测试apk对短信记录进行了几次加密？（答案格式：5）

14. 测试apk对短信记录进行加密的秘钥是？（答案格式：slkdjlfslskdnln）

15. 嫌疑人在2021年登录支付宝的验证码是？（答案格式：3464）

---

取证

取证案情介绍：2023年初，某地公安机关抓获一个网络诈骗技术嫌疑人，公安机关在扣押嫌疑人后，对嫌疑人手机进行数据提取，在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除，根据嫌疑人交代，其在删除通话及短信记录前使用过同伙编写的测试软件，该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要，请参赛队员分析手机镜像及对应apk，完成取证题目

1. 检材数据开始提取是今年什么时候？（答案格式：04-12 13:26）

注意是开始提取的时间   log文件里找任务开始时间即可

答案：09-11 17:21

2. 嫌疑人手机SD卡存储空间一共多少GB？（答案格式： 22.5）

比赛申请的手机取证软件打开即可

答案：24.32

3. 嫌疑人手机设备名称是？（答案格式：adfer）

答案：sailfish

4. 嫌疑人手机IMEI是？（答案格式：3843487568726387）

答案：352531082716257

5. 嫌疑人手机通讯录数据存放在那个数据库文件中？（答案格式：call.db）

答案：contacts.db

6. 嫌疑人手机一共使用过多少个应用？（答案格式：22）

这个做错了，手机上一共有205个软件，删过一个   应用日志有205个 所以直接填了  应该是要仔细看具体用过哪些个的

答案：？

7. 测试apk的包名是？（答案格式：con.tencent.com）

提取出来测试文件的apk       

Android killer 打开

答案：com.example.myapplication

8. 测试apk的签名算法是？（答案格式:AES250）

jadx反编译一下apk，在 APK signature可以看到

答案：SHA256withRSA

9. 测试apk的主入口是？（答案格式：com.tmp.mainactivity）

android killer打开即可看到

答案：com.example.myapplication.MainActivity

10. 测试apk一共申请了几个权限？（答案格式：7）

答案：3

11. 测试apk对Calllog.txt文件内的数据进行了什么加密？（答案格式：DES）

这道题错了 不知道为什么 格式问题？  不过应该就是base64加密 

答案：？

12. 10086对嫌疑人拨打过几次电话？（答案格式：5）

从第11可知 calllog.txt 是进行了base64加密的，找到calllog.txt base64解密即可得到通话记录

答案：2

13. 测试apk对短信记录进行了几次加密？（答案格式：5）

先AES 后 base64  两次加密

答案：2

14. 测试apk对短信记录进行加密的秘钥是？（答案格式：slkdjlfslskdnln）

跟进 encryptData()里的key

String key = Getkey();

跟到了 public native String Getkey();

问了问二进制手 需要去逆一下 .so文件里 函数逻辑 来得到密钥 交给逆向了直接

求出来之后解15题能解出来，也可以变向证明这道题逆对了

答案：bGlqdWJkeWhmdXJp

15. 嫌疑人在2021年登录支付宝的验证码是？（答案格式：3464）

根据第 13 14题，可知SMS.txt的加密逻辑和密钥，用密钥 AES解密即可还原短信内容

答案：9250