第一届龙信杯取证比赛部分题目复现

感谢大佬@是toto的wp

第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客

手机取证

1.请分析涉案手机的设备标识是_______。(标准格式:12345678)

打开龙信取证软件分析镜像即可得到结果

第一届龙信杯取证比赛部分题目复现_第1张图片

2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)

从案件详情得知软件名称,从应用列表搜索就能得到答案、

3.此检材共连接过______个WiFi。(标准格式:1)

第一届龙信杯取证比赛部分题目复现_第2张图片

wifi记录就能翻到

4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)

\data\com.android.providers.telephony\databases\mmssms.db数据库中的sms表中可以看到安卓的所有短信,其中read字段储存的就是短信是否已读

第一届龙信杯取证比赛部分题目复现_第3张图片

使用sql语句统计哪些数据read为0

第一届龙信杯取证比赛部分题目复现_第4张图片

 得到答案17

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)

qq浏览器记录第一个就是

6.请分析涉案海报的推广ID是________。(标准格式:123456)

打开彩信附件找到

第一届龙信杯取证比赛部分题目复现_第5张图片

7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)

无效号码会有一条特殊回复短信,我们寻找有几条这样的短信即可

还是刚才的sms表

第一届龙信杯取证比赛部分题目复现_第6张图片

答案是1

8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)

qq聊天,小倩账号选择聊天数量最多的那个,那个就是受害人

第一届龙信杯取证比赛部分题目复现_第7张图片

9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)

应用列表搜索变声器,出来第一个就是

10.号商的联系人注册APP的ID是_________。(标准格式:12345678)

这里指的是 “卖QQ号” 的号商在 “蝙蝠加密聊天“ app里面的id是多少

那直接点开查看就是

第一届龙信杯取证比赛部分题目复现_第8张图片

11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)

位置信息里面可以找到一份带经纬度的图片,在opengps搜索即可

第一届龙信杯取证比赛部分题目复现_第9张图片

第一届龙信杯取证比赛部分题目复现_第10张图片

苏州

12.嫌疑人共购买_______个QQ号。(标准格式:1)

蝙蝠聊天找到号商,分析聊天就知道答案

第一届龙信杯取证比赛部分题目复现_第11张图片

第一届龙信杯取证比赛部分题目复现_第12张图片

APK取证

1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)

应用列表找到涉案应用,根据安装路径打开文件夹找到安装包

第一届龙信杯取证比赛部分题目复现_第13张图片

使用龙信apk分析即可得到答案

第一届龙信杯取证比赛部分题目复现_第14张图片

2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)

雷电app智能分析打开

第一届龙信杯取证比赛部分题目复现_第15张图片

3.分析该apk,app的内部版本号是__________。(标准格式:1.1)

同上

4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)

打开manifest,其中有一行

 android:targetSdkVersion="32"

第一届龙信杯取证比赛部分题目复现_第16张图片

百度搜索得知最高支持版本号为安卓12

第一届龙信杯取证比赛部分题目复现_第17张图片

5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)

雷电分析选择详细信息

第一届龙信杯取证比赛部分题目复现_第18张图片

6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)

选择静态权限

第一届龙信杯取证比赛部分题目复现_第19张图片

不知道为啥直接复制给我算的错的

7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)

第一届龙信杯取证比赛部分题目复现_第20张图片

8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)

jadx解析源码,主函数里就能找到

第一届龙信杯取证比赛部分题目复现_第21张图片

9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)

在下面的util里面找到okhttputil就能得到加密的盐

第一届龙信杯取证比赛部分题目复现_第22张图片

10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)

上图

11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)

manifest中

第一届龙信杯取证比赛部分题目复现_第23张图片

调证值原来就是dcloud_ad_id,长见识了

12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)

同9题

13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)

关键词搜aes

第一届龙信杯取证比赛部分题目复现_第24张图片

(都翻一遍就能找到key在哪了)

第一届龙信杯取证比赛部分题目复现_第25张图片

14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)

这个后面再说

(谁家取证会填自家公司座机的号码啊)

介质取证

1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)

很疑惑为什么我问一圈都告诉我没有密码,原来火眼仿真会直接绕过密码

仿真之后点一下会出现密码提示,工号在工资条里面就能找到

第一届龙信杯取证比赛部分题目复现_第26张图片

 第一届龙信杯取证比赛部分题目复现_第27张图片

Longxin360004

2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)

第一届龙信杯取证比赛部分题目复现_第28张图片

又给我算这道题错的,真抽象

3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)

还是给我算得是错的,贴一下过程吧

第一届龙信杯取证比赛部分题目复现_第29张图片

 4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)

火眼翻一下自启动就能找到

第一届龙信杯取证比赛部分题目复现_第30张图片

 5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)

查找访问记录里面有一个blmm的txt文件

第一届龙信杯取证比赛部分题目复现_第31张图片

我们可以在详细信息中找到他的位置(别用那个跳转到源文件)

第一届龙信杯取证比赛部分题目复现_第32张图片

 打开后发现是bitlocker的密码

第一届龙信杯取证比赛部分题目复现_第33张图片

 使用恢复密匙解开e盘的bitlocker加密,找到我的秘密.jpg

第一届龙信杯取证比赛部分题目复现_第34张图片

一眼base,拿去解密

第一届龙信杯取证比赛部分题目复现_第35张图片

 得到答案

6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)

那个可以直接打开的工资条是错的,要开微信那个zip得到正确的工资条,密码就是上面那个Mimi1234

第一届龙信杯取证比赛部分题目复现_第36张图片

第一届龙信杯取证比赛部分题目复现_第37张图片

 得到答案19821

7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)

仿真取证,在虚拟机里面的edge打开个人设置找保存下来的密码即可

第一届龙信杯取证比赛部分题目复现_第38张图片

(盘古石的仿真取证还是好用的,至少没把我密码清掉

8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)

之前blmm.txt的文件夹下面还有一个mmm.txt

第一届龙信杯取证比赛部分题目复现_第39张图片

两个都看一下,第一个

第一届龙信杯取证比赛部分题目复现_第40张图片

第二个

第一届龙信杯取证比赛部分题目复现_第41张图片

听师傅说因为2.png 16进制后面有一串数字是银行卡号,所以答案是2.png

9.请找出嫌疑人的2022年收入共_______。(标准格式:123)

bitlocker解开还有个dd容器,提取出来之后装载

(解密文件居然是那个2.png,长见识了)

第一届龙信杯取证比赛部分题目复现_第42张图片

(记得一定要选那个truecrypt模式)

第一届龙信杯取证比赛部分题目复现_第43张图片

然后里面也什么都没有,拿火眼连一下挂载的盘

发现总收入已经被删掉了

第一届龙信杯取证比赛部分题目复现_第44张图片

下面那个$RD2Q1OW.xlsx倒是有收入详细,加一下就知道答案了

第一届龙信杯取证比赛部分题目复现_第45张图片

然后说一下apk的最后一题,那个座机电话。把那个重要信息.txt打开

第一届龙信杯取证比赛部分题目复现_第46张图片

感觉很像aes,把之前apk里面的aes密钥拼一下看看能不能解

参数是这俩

iv是偏移,key就是密钥,模式选cbc

第一届龙信杯取证比赛部分题目复现_第47张图片

 得到答案(就是龙信自己家的座机号)

10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)

2.png的文件末尾

 6320005020052013476

此题结束

你可能感兴趣的:(网络安全,web安全,取证,龙信杯)