2023蓝帽杯南部赛区半决赛取证复现

首先嗷，仅代表个人评价一下就是说赛委会在出题的时候不严谨，我一度怀疑我的语文阅读能力有问题，但是呢，这次的取证题目虽然不是很难，但是有些地方我也是依旧没有找到，说了这么多，接下来，就是复现了：

2023年初，某地公安机关抓获一个网络诈骗技术嫌疑人，公安机关在扣押嫌疑人后，对嫌疑人手机进行数据提取，在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除，根据嫌疑人交代，其在删除通话及短信记录前使用过同伙编写的测试软件，该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要，请参赛队员分析手机镜像及对应apk，完成取证题目。

1. 检材数据开始提取是今年什么时候？（答案格式：04-12 13:26）

在检材解压后的logs.log中看

1. 嫌疑人手机SD卡存储空间一共多少GB？（答案格式： 22.5）

在检材解压后的logs.log中看

1. 嫌疑人手机设备名称是？（答案格式：adfer）

在检材解压后的logs.log中看

1. 嫌疑人手机IMEI是？（答案格式：3843487568726387）

1. 嫌疑人手机通讯录数据存放在那个数据库文件中？（答案格式：call.db）

1. *****嫌疑人手机一共使用过多少个应用？（答案格式：22）

这个题我暂时也不知道正确答案，等官方wp出来后再看

1. 测试apk的包名是？（答案格式：con.tencent.com）

1. 测试apk的签名算法是？（答案格式:AES250）

1. 测试apk的主入口是？（答案格式：com.tmp.mainactivity）

1. 测试apk一共申请了几个权限？（答案格式：7）

1. 测试apk对Calllog.txt文件内的数据进行了什么加密？（答案格式：DES）

jadx搜calllog.txt

 base64加密

1. 10086对嫌疑人拨打过几次电话？（答案格式：5）

找到calllog.txt，对其中内容进行base64解码，找到10086

1. 测试apk对短信记录进行了几次加密？（答案格式：5）

2次 AES+BASE64

1. 测试apk对短信记录进行加密的秘钥是？（答案格式：slkdjlfslskdnln）

本来是想hook出key值的，但是模拟器中没有短信APP

貌似是一个静态的值，apk解包后ida64分析lib中的so文件

在字符串中找到Getkey

G分析代码可以看到对first进行了转换

找到first：lijubdyhfurindhcbxdw

在这里进行了base64编码

得到bGlqdWJkeWhmdXJpbmRoY2J4ZHc=

拿这个key去解密SMS.txt中的内容

https://www.mklab.cn/utils/aes

1. 嫌疑人在2021年登录支付宝的验证码是？（答案格式：3464）

在解密出的短信内容中可以看到

总体难度不大，但确实最后两道题我在赛场的时候并没有做出来，后来是跟着大佬的思路才做出来的：2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp