2024年电子数据取证“獬豸杯”比赛解析WP

项目介绍：

简介：
竞赛为个人赛，工具自备，只发证书（还没用，公告这么写的哈）竞赛选手们将对模拟的案件进行电子数据调查取证，全面检验参赛选手电子数据取证的综合素质和能力。

参赛对象:

• 电子数据取证分析从业人员
• 高校学生，CTF爱好者，相关专业老师
• 电子数据取证爱好者（ 我就是那个仔(●ˇ∀ˇ●)）

任务目标：

第一部分：手机取证

1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

考点：backup是备份文件，start开始第一个就是

FLAG：2024-01-15.14:19:44

2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

1. QQ
2. 陌陌
3. 小西米

3、手机机主的号码的ICCID是多少。（标准格式：阿拉伯数字）

4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

加粗样式

FLAG：20240115

5、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）

6、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

FLAG：Bookmarks.db

7、手机机主计划去哪里旅游。（标准格式：苏州）

即时通讯-1

8、手机机主查询过那个人的身份信息。（标准格式：龙信）

即时通讯-2

9、请问机主共转多少费用用于数据查询。（标准格式：1000）

即时通讯-3

10、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

知识点：身份证号码是18位、倒数第2位奇数为男性、偶数为女性 通过这个我们去判断

最后2个身份证不全，所以就4个人分别为：张二、李四、江三、王也

FLAG：4

第二部分：计算机取证

1、计算机系统的安装日期是什么时候。（标准格式：20240120）

2、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

FLAG：data.zip

3、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

4、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

5、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

6、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

7、请问邮箱服务器的登录密码是多少。（标准格式：admin）

8、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

9、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

邮箱服务器-4

10、请问约定见面的地点在哪里。（标准格式：太阳路668号）

010修改高度改为2000 能看到约定地点就行。

FLAG：中国路999号

第三部分：APK分析

APK分析-1

1、APK包名是多少。（标准格式：com.xxx.xxx）

FLAG：com.example.readeveryday

APK分析-2

2、APK的主函数名是多少。（标准格式：comlongxin）

FLAG：StartShow

APK分析-3

3、APK的签名算法是什么。（标准格式：xxx）

FLAG：SHA1withRSA

APK分析-4

4、APK的应用版本是多少。（标准格式：1.2）

FLAG：1.0

APK分析-5

5、请判断该APK是否需要联网。（标准格式：是/否）

FLAG：是

APK分析-6

6、APK回传地址？（标准格式：127.0.0.1:12345）

FLAG：10.0.102.135:8888

APK分析-7

7、APK回传数据文件名称是什么。（标准格式：1.txt）

checkAndUpload函数里 直接ctrl +F 有个filename

FLAG：Readdata.zip

APK分析-8

8、APK回传数据加密密码是多少。（标准格式：admin）

Ctrl+F 搜索Encrypt函数

FLAG：19_08.05r

APK分析-9

9、APK发送回后台服务器的数据包含以下哪些内容？（多选）
A.手机通讯录
B.手机短信
C.相册
D.GPS定位信息
E.手机应用列表

bp抓包 导出PK文件 使用上面的密码打开看 或者直接分析源码（三种方法都行）

FLAG：ABE