感谢大佬@是toto的wp
第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客
1.请分析涉案手机的设备标识是_______。(标准格式:12345678)
打开龙信取证软件分析镜像即可得到结果
2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)
从案件详情得知软件名称,从应用列表搜索就能得到答案、
3.此检材共连接过______个WiFi。(标准格式:1)
wifi记录就能翻到
4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)
在\data\com.android.providers.telephony\databases\mmssms.db数据库中的sms表中可以看到安卓的所有短信,其中read字段储存的就是短信是否已读
使用sql语句统计哪些数据read为0
得到答案17
5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)
qq浏览器记录第一个就是
6.请分析涉案海报的推广ID是________。(标准格式:123456)
打开彩信附件找到
7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)
无效号码会有一条特殊回复短信,我们寻找有几条这样的短信即可
还是刚才的sms表
答案是1
8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)
qq聊天,小倩账号选择聊天数量最多的那个,那个就是受害人
9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)
应用列表搜索变声器,出来第一个就是
10.号商的联系人注册APP的ID是_________。(标准格式:12345678)
这里指的是 “卖QQ号” 的号商在 “蝙蝠加密聊天“ app里面的id是多少
那直接点开查看就是
11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)
位置信息里面可以找到一份带经纬度的图片,在opengps搜索即可
苏州
12.嫌疑人共购买_______个QQ号。(标准格式:1)
蝙蝠聊天找到号商,分析聊天就知道答案
1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)
应用列表找到涉案应用,根据安装路径打开文件夹找到安装包
使用龙信apk分析即可得到答案
2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)
雷电app智能分析打开
3.分析该apk,app的内部版本号是__________。(标准格式:1.1)
同上
4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)
打开manifest,其中有一行
android:targetSdkVersion="32"
百度搜索得知最高支持版本号为安卓12
5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)
雷电分析选择详细信息
6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)
选择静态权限
不知道为啥直接复制给我算的错的
7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)
8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)
jadx解析源码,主函数里就能找到
9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)
在下面的util里面找到okhttputil就能得到加密的盐
10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)
上图
11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)
manifest中
调证值原来就是dcloud_ad_id,长见识了
12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)
同9题
13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)
关键词搜aes
(都翻一遍就能找到key在哪了)
14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)
这个后面再说
(谁家取证会填自家公司座机的号码啊)
很疑惑为什么我问一圈都告诉我没有密码,原来火眼仿真会直接绕过密码
仿真之后点一下会出现密码提示,工号在工资条里面就能找到
Longxin360004
又给我算这道题错的,真抽象
还是给我算得是错的,贴一下过程吧
火眼翻一下自启动就能找到
5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)
查找访问记录里面有一个blmm的txt文件
我们可以在详细信息中找到他的位置(别用那个跳转到源文件)
打开后发现是bitlocker的密码
使用恢复密匙解开e盘的bitlocker加密,找到我的秘密.jpg
一眼base,拿去解密
得到答案
那个可以直接打开的工资条是错的,要开微信那个zip得到正确的工资条,密码就是上面那个Mimi1234
得到答案19821
仿真取证,在虚拟机里面的edge打开个人设置找保存下来的密码即可
(盘古石的仿真取证还是好用的,至少没把我密码清掉
之前blmm.txt的文件夹下面还有一个mmm.txt
两个都看一下,第一个
第二个
听师傅说因为2.png 16进制后面有一串数字是银行卡号,所以答案是2.png
bitlocker解开还有个dd容器,提取出来之后装载
(解密文件居然是那个2.png,长见识了)
(记得一定要选那个truecrypt模式)
然后里面也什么都没有,拿火眼连一下挂载的盘
发现总收入已经被删掉了
下面那个$RD2Q1OW.xlsx倒是有收入详细,加一下就知道答案了
然后说一下apk的最后一题,那个座机电话。把那个重要信息.txt打开
感觉很像aes,把之前apk里面的aes密钥拼一下看看能不能解
参数是这俩
iv是偏移,key就是密钥,模式选cbc
得到答案(就是龙信自己家的座机号)
2.png的文件末尾
6320005020052013476
此题结束