2023蓝帽杯半决赛取证复现

1.检材数据开始提取是今年什么时候？（答案格式：04-12 13:26）

09-11 17:21

这题做错了

其实当时盘古石手机取证里面就有的，想多了去看了日志文件

是真的有点歧义，20分就开始提取任务了

2.嫌疑人手机SD卡存储空间一共多少GB？（答案格式： 22.5） 

24.3

日志文件里面

3.嫌疑人手机设备名称是？（答案格式：adfer） 

sailfish

设备名称里面

4.嫌疑人手机IMEI是？（答案格式：3843487568726387） 

352531082716257

5.嫌疑人手机通讯录数据存放在那个数据库文件中？（答案格式：call.db ）

contacts.db

来源文件里面

6.嫌疑人手机一共使用过多少个应用？（答案格式：22） 

206

7.测试apk的包名是？（答案格式：con.tencent.com） 

这题一开始没思路，看了11题才有思路

搜了这个文件

确定包名

8.测试apk的签名算法是？（答案格式:AES250） 

网传答案是这个

SHA256withRSA

后悔当时在jadx看到的，但是觉得格式不对改了的。。

9.测试apk的主入口是？（答案格式：com.tmp.mainactivity） 

com.example.myapplication.MainActivity

程序主入口在GDA4里面找到

10.测试apk一共申请了几个权限？（答案格式：7） 

3

我在摸瓜里面找到的三个

11.测试apk对Calllog.txt文件内的数据进行了什么加密？（答案格式：DES）

打开这个文件，看到后面两个等号，就觉得是base64

 拿瑞士军刀试了下确实解密了，jadx里面搜索calllog也有

12.10086对嫌疑人拨打过几次电话？（答案格式：5） 

2

瑞士军刀解密后搜索10086，有两次记录

13.测试apk对短信记录进行了几次加密？（答案格式：5） 

2

还是一样，base64+AES 两次加密

14.测试apk对短信记录进行加密的秘钥是？（答案格式：slkdjlfslskdnln）

bGlqdWJkeWhmdXJp

解压apk之后就能找到so文件

使用ida64打开

shift+f12搜索字符串，ctrl+f搜索getkey

找到first函数

双击

first进行base64加密，且截取前16位 

15、嫌疑人在2021年登录支付宝的验证码是？（答案格式：3464）

9250

 用得到的秘钥解密SMS.txt文件，得到短信记录，找到验证码

一开始拿其他网站都解不出

AES在线解密 AES在线加密 Aes online hex 十六进制密钥 - The X 在线工具