2023年第四届中科杯

前言

记录学习的过程，希望能帮到学习的伙伴，也同时希望能够得到指正。
第四届“中科实数杯”全国电子数据取证暨司法鉴定挑战赛

受害人报案，其被嫌疑人王某多次通过微信进行诈骗，对受害人手机进行快采后，公安机关根据已有线索，发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。

• 检材1：嫌疑人的计算机磁盘镜像
• 检材2：嫌疑人的iphone备份数据
• 检材3：嫌疑人的计算机内存镜像
• 检材4：嫌疑人的红米手机备份数据

知识点

• bitlocker的恢复密钥破解
• 手工提取数据库分析
• apk逆向
• plist文件格式解析

检材一

1、检材一硬盘的MD5值为多少？
工具直接计算MD5值

80518BC0DBF3315F806E9EDF7EE13C12

2、检材一bitlocker的恢复密钥是多少？

解法一：

使用Passware Kit Forensic 2022软件，选择bitlocker解密，然后选择内存镜像memdump2023.raw

Bitlocker正则表达式：

^[0-9A-Fa-f]{6}-[0-9A-Fa-f]{6}-[0-9A-Fa-f]{6}-[0-9A-Fa-f]{6}-[0-9A-Fa-f]{6}-[0-9A-Fa-f]{6}$

Bitlocker恢复密钥：

585805-292292-462539-352495-691284-509212-527219-095942

解法二：

使用Elcomsoft Forensic Disk Decryptor进行解密，也是可以选择内存解密memdump2023.raw。

解密后可以得到

585805-292292-462539-352495-691284-509212-527219-095942

3、检材一镜像中用户最近一次打开的文件名是什么？

用火眼分析，在用户痕迹下的最近访问的项目中。进行最后访问时间的排序。

列表.xlsx

4、检材一硬盘系统分区的起始位置？

对于Windows操作系统，通常会有一个小的“系统保留”分区（在MBR分区表中）或“EFI系统分区”（在GPT分区表中），它们位于主Windows系统分区之前。这些分区包含启动所需的一些文件和工具。

649216

5、检材一系统的版本号是多少（格式：x.x.x.x）

为了获取您的Windows系统的具体版本号，可以在搜索栏输入“winver”并运行该命令，这将显示一个对话框，其中包含您的Windows版本和OS内部版本号的详细信息。
解法一：
将电脑镜像进行仿真

120.2212.31.0

6、检材一回收站中的文件被删除前的路径

火眼分析—基本信息—回收站记录

C:/Users/rd/Desktop/iTunes(12.13.0.9).exe

7、检材一给出最后一次修改系统时间前的时间（格式：YYYY-MM-DD HH:MM:SS）

取证大师—系统痕迹—系统信息—系统时间修改。

在Windows操作系统中查看系统时间是否被修改可以通过几种方法进行，这对于计算机取证和安全分析来说非常重要。以下是一些主要方法：

1. 事件查看器

Windows的事件查看器（Event Viewer）是检查系统时间更改的一个重要工具。你可以按照以下步骤操作：

1. 打开事件查看器:
   • 通过在搜索栏输入“事件查看器”或通过运行命令eventvwr.msc来打开事件查看器。
2. 浏览到系统日志:
   • 在事件查看器左侧，导航到“Windows 日志” > “系统”。
3. 查找相关事件:
   • 查找与时间更改相关的事件，例如事件ID 1（时间服务事件）、事件ID 4616（系统时间已更改事件）等。

2. 系统日志文件

系统日志文件也可以提供关于时间更改的信息。这些文件通常位于C:\Windows\System32\winevt\Logs。

3. 命令行工具

可以使用如wevtutil这样的命令行工具来查询事件日志。例如，使用命令来查询系统时间更改事件。

wevtutil qe System /q:"*[System[(EventID=4616)]]" 

4. 第三方软件

使用第三方系统监控工具也可以帮助检测和记录系统时间的更改。这些工具可以提供更详细的分析和易于理解的用户界面。

2023-12-12 16:37:12

8、检材一最后一次远程连接本机的时间（格式：YYYY-MM-DD HH:MM:SS）

火眼分析—远程桌面—远程连接过本机的记录

远程连接本机的时间通常指的是在远程桌面协议（RDP）、SSH 或其他远程访问工具中，远程会话发生的时间。在进行计算机取证或安全分析时，追踪远程连接的时间是非常重要的，因为它可以帮助识别潜在的未授权访问或异常活动。以下是一些方法来检查和记录远程连接的时间：

1. Windows 事件查看器

对于Windows系统，事件查看器是一个关键工具，用于查找远程连接事件。要查看这些事件：

1. 打开事件查看器（eventvwr.msc）。
2. 浏览到“Windows 日志” > “安全”。
3. 搜索与远程桌面连接相关的事件ID，如4624（帐户成功登录事件）、4778（远程桌面重新连接事件）和4779（远程桌面断开事件）。

2.第三方工具

2023-12-11 15:57:02

9、检材一Chrome浏览器最后一次搜索过的关键词是什么

上网记录—Chrome—搜索记录

常见的诈骗话术2023

10、检材一是否连接过U盘，如有，请给出U盘的SN码
解法一：
取证工作—usb连接记录

 FC2005927F271

11、检材一Edge浏览器最早一次下载过的文件文件名是

上网记录—Edga浏览器—下载记录

winrar-x64-624scp.exe

12、嫌疑人访问的微博的密码的MD5值
取证工具—chrome浏览器—保存的密码

!dfrDj*&j98_jUe8

使用小脚本计算一下

import hashlib
def md5_encrypt(text):

    # 创建md5对象
    md5 = hashlib.md5() 

    # 对文本进行编码，因为hashlib模块需要二进制数据
    md5.update(text.encode('utf-8'))

    # 返回十六进制的加密结果
    return md5.hexdigest()

text = input('请输入你要加密的文本：')
md5_result = md5_encrypt(text)
print(f'MD5：{md5_result}')

5cb42860b3b61ef6dd361ad556f48e05

检材二

13、检材二备份的设备名称是什么？

解法一：

由于没有工具，使用工具查看plist文件。设备信息一般存放于info.plist

解法二：
取证工具直接梭哈

“User”的 iPhone

14、检材二手机的IOS系统版本是多少

解法一：

由于没有工具，使用工具查看plist文件

同上图片
解法二：
取证工具直接梭哈

17.0

15、检材二备份的时间是多少？（格式：YYYY-MM-DD HH:MM:SS）

解法一：

由于没有工具，使用工具查看plist文件。Manifest.plist

2023-12-09 15:00:34

解法二：
使用取证工具出来的时间不一样，在设备信息上相差了

2023-12-09 15:02:28

16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。（格式：YYYY-MM-DD HH:MM:SS）
在电脑的备份里，有个带密码的ios备份
密码：25922
取证解析之后在通话记录上看

2023-12-04 13:18:50

17、检材二使用过的号码ICCID是多少？
基本信息 — SIM卡记录

89860000191997734908

18、检材二手机中高德地图最后搜索的地址？

万达广场(南沙店) 双山大道3号

19、检材二手机最后一次登陆/注册“HotsCoin”的时间是（格式：YYYY-MM-DD HH:MM:SS）
关键字搜索

2023-12-04 13:28:14

20、检材二手机中照片“IMG_0002”的拍摄时间是（格式：YYYY-MM-DD HH:MM:SS）
导出图片，查看详细信息

2023-12-06 11:08:30

21、检材二中“小西米语音”app的Bundle ID是什么？

做题时发现这类单独提出的app就需要你多留意一下。

Bundle ID（捆绑标识符），在iOS和macOS开发中，是用来唯一标识一个应用程序的字符串。它在整个Apple生态系统中用来区分应用程序，尤其在App Store上架、推送通知服务（APNs）、代码签名、以及在设备上安装和管理应用时都起着核心作用。
Bundle ID的特点：

1. 唯一性：每个应用的Bundle ID都是唯一的。这意味着在Apple的生态系统中，没有两个应用可以有相同的Bundle ID。

2. 格式：通常采用反向域名风格编写，例如：com.companyname.appname。这样做的目的是为了确保其唯一性，因为域名是全球唯一的。

3. 配置：在开发应用时，Bundle ID是在Xcode项目的设置中配置的，并且它与你的Apple Developer
   Program账户中的应用记录相对应。

4. 用途：它不仅用于在App Store上架应用，还与应用的配置文件和代码签名证书相关联。此外，它也用于配置和管理应用的推送通知、App
   Groups、iCloud服务等。

5. 不可变性：一旦一个应用与特定的Bundle ID相关联并上架到App Store，这个Bundle
   ID就不能更改。如果需要使用不同的Bundle ID，实际上需要创建一个新的应用。

6. 隐私：Bundle ID本身不包含任何个人或敏感信息，它只是一个识别应用的标识符。
   就是包名的意思
   

com.titashow.tangliao

22、检材二中浏览器最后一次搜索的关键词是什么？

解法一：
直接去找源文件com.apple.mobilesafari.plist，导出来之后用plist工具查看

ios备份密码忘了怎么办 五位纯数字

23、嫌疑人和洗钱人员约定电子钱包的品牌是什么，如有多个用顿号分隔。
找com.titashow.tangliao的源文件，过滤关键字db，一般聊天记录都会记录在数据库中，如果取证软件无法提取时，就需要我们自己去找数据库。
全路径： 00008030-001619320C68802E.tar/AppDomain-com.titashow.tangliao/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1399634813467579522/im5db

ETH、BTC

24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。

数据库同上题数据库

0.2

检材三

25、检材三中进程“FTK Imager.exe”的PID是多少？

使用取证大师—内存镜像解析工具

11328

26、检材三中显示的系统时间是多少？（格式：YYYY-MM-DD HH:MM:SS）

2023-12-12 12:06:25

27、检材三中记录的当前系统ip是多少？

取证大师—内存镜像解析工具—网络连接

172.18.7.229

检材四

28、检材四中迅雷下载过的文件名是什么？

《向银河靠近》.txt

29、检材四中安装了哪些可是实现（VPN）功能的app？

clash for Android

30、检材四备份的设备系统版本是多少？

打开descript.xml，关键字搜索，根据经验知道是小米手机的备份所以搜索miuiVersion

V14.0.2.0.TKSCNXM

31、检材四备份的时间是多少（答案以13位时间戳表示）

时间戳

1702459232429
2023-12-13 17:20:32

32、检材四中FileCompress app 包名是什么？

com.zs.filecompress

33、检材四中备忘录记录的内容是什么？

记录提示VC容器的密码：pR7)nZ5&yQ2-oR0<

Vcpswd:edgewallet

34、请列出检材四中所有虚拟币钱包app的包名。

imToken 是一款流行的数字钱包应用，主要用于存储和管理加密货币和代币，如比特币（Bitcoin）、以太坊（Ethereum）以及各种基于ERC-20、ERC-721等标准的代币。
有三个钱包（wallet）

com.bitcoin.mwallet、de.schildbach.wallet、com.paxful.wallet

35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么？

3KnPxPvpZ43pSc6sUT4Zqsc7pK1Xz5NtMH

36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置

先计算所有文件的MD5值，然后在文件分类中逐个项目筛选，高级筛选MD5

20231213_172032.tar/20231213_172032/FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt

综合

37、检材中受害人的微信号是多少？

同过跳转源文件，在数据库中看到这个微信号


火眼取证可以看到，但是是曾经用的ID

Mr-pengp

38、嫌疑人曾通过微信购买过一个公民信息数据库，该数据库中手机尾号是8686的用户的姓名是

在电脑镜像导出之后，用数据软件打开查看，过来用户phone

章敏

39、嫌疑人手机中是否保存了小西米语音app的账号密码，如有，请写出其密码

jamvU1@wiwgug$bo

40、公民信息数据库中，截止到2023年12月31日，年龄大于等于18且小于等于30岁之间的用户信息数量

不同数据库查询语句不一样，我用的sqlite

SELECT COUNT(*) AS C
FROM users
WHERE 
    (strftime('%Y', 'now') - substr(IDCARD, 7, 4)) BETWEEN 18 AND 30;

这个查询语句的解释如下：

strftime('%Y', 'now')：使用 strftime 函数获取当前的年份（YYYY格式）。
substr(IDCARD, 7, 4)：从身份证号码中提取出生年份（第7位开始的4位数字）。
BETWEEN 18 AND 30：计算年龄，并检查该年龄是否在18至30岁之间。

1572

41、受害人小浩的手机号码是多少？

com.zs.filecompress是一个压缩文件的app，所以对文件备份app提取，然后分析源代码。

文件密码为：1!8Da9Re5it2b3a.

11月电诈名单
小浩 13533333333
王明 13522222222

42、完整的受害人名单是几个人？
将文档中的可疑新建文档导出来，因为它有88兆。

密码提示33题
挂载密码为：pR7)nZ5&yQ2-oR0<
9月2个人，10月2人，11月2人

6

43、受害人转账的总金额是多少？

有两个备份，查看时间是不一样的
检材二

电脑ios备份

600

流程：

购买

诈骗

600

嫌疑人

枫叶

用户数据

小浩

完成诈骗

小西app

虚拟币洗钱