2024龙信杯（手机+计算机）

第一次参加，坐下来感觉得比去年的难度提升了很多，检材也复杂了很多，特别是流量题真的不太会做，只能多学习学习其他大佬的文章的思路了。

参考了第二届 龙信杯 电子数据取证竞赛部分Writeup师傅的思路

检材链接：https://pan.baidu.com/s/1Dyn-w0Ap5GqeUPYrULfglQ?pwd=pqrm 提取码: pqrm检材密码：MjAyNOm+meS/oeadrw==

案情介绍：

近期，某公安机关正式受理了一起受害者报案案件。受害者陈述称，其通过微信平台结识了一名

自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动，即所谓

的“选妃”过程。在受害者不察之下，整个交流过程被犯罪团伙暗中录音录像。

随后，该客服人员以提供更多潜在相亲对象为由，诱导受害者下载并安装了一款预先准备好的恶

意木马应用程序（APP）。一旦受害者安装了此 APP，犯罪嫌疑人便利用手中掌握的录音录像资料以及

受害者的通讯录信息作为威胁手段，对受害者实施多次敲诈勒索和诈骗行为。

面对持续的精神压力和经济损失，受害者最终不堪重负，决定向公安机关报案，以期揭露并制止

这一恶劣的犯罪行为。

手机取证

分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]

2

这里直接搜索adb文件可以发现一个配置文件，在文件中有两条key，那么就代表有两次连接

 分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]

2024-08-23 

 这里搜索可以看到便签里有考试的信息，在这里我以为是创建便签的时候开始算的下周五，这题有点可惜，应该是修改时间开始计算的下周五。

 

 分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]

48:87:59:76:21:0f

 这里就可以直接找蓝牙连接记录，可以看见手机的地址

 如果没有蓝牙记录的话，可以在/bluedroid/bt_config.conf文件中找到

 分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]

 这题比赛的时候没有出，主要是没有找到加密软件是哪一个，所以是赛后参考了其他师傅的wp，

这里由于是用的火眼，所以用特征恢复来查看，其他方法目前还不太会，如果有别的方法希望可以请大佬点拨一下

得到6个特征不符的加密文档

 

 分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]

15599555555

 这里比赛的时候就直接硬搜找到了连接记录中的手机号，这也算老实踩进主办方挖的坑了

参考了其他师傅的wp，这里是要先找到加密文件的密码，需要先去分析加密的apk，加密文件都是在FileCompress目录，所以直接找这个apk分析apk的源代码，先注意到password的关键字，所以后面的就是密码

1!8Da9Re5it2b3a.

解密mm文件就有手机号了

 

分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）

d7Avsd!Y]u}J8i(1bnDD@<-o

这题比赛的时候也是猜的，是在聊天记录里看见的

 但是在学习了这位师傅的wp才知道应该在加密文件里找（运气也太好了）

接上题，解密重要文件就有容器密码

分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]

容器在 受害人手机检材.tar/media_425/0/Download 里，但是这里用tc挂载一直报错，撕……不太会做，静待其他师傅的wp

 分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]

分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]

分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100]

分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]

2

这题不太会，我是翻apk列表数的，比赛的时候查了分身的版本号会变但是包名不会变，但是看了别的wp发现龙信的工具可以看，但是不知道怎么看，对龙信软件的开发不足%1（doge

 

 分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]

2

 这里也是用的龙信软件跑的

 分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]

1836042664454131712

 这里可以在聊天记录里看见，注意不是微信ID，所以猜测是内部ID

 分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录 ？[标准格式：2]

1

 可以看到通讯软件中已删除的就一个，所以是1

 

 分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]

 com.lxlxlx.luoliao

 这里猜测是微信聊天中发的恶意apk，所以直接导出雷电分析一下确实是恶意apk

 接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]

 40085222666

雷电一开始分析出一个邮箱，跟进查看一下

注意这个tips，可能是作者留下的信息，所以跟进一下w0和x0来看看内容，注意这里是w0+x0，所以要把两个信息联系起来

  这里的内容，一眼base64，先赛博厨子看看

iSkrO/5aOpJ6AAFQNl4t/9k013k52gh6U+1240De1DEVJaQJ7ByaJExZmcgdXkz92RANgWCqZ/T6prig6uqOFA==

 但是注意一直出现的一个字符串，这里其实可以看出是一个AES加密的内容，所以尝试把密钥和偏移量都用这个，解得最后的数字可以确定是一个座机号码

 接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：lx@gmail.com]

1304567895@gmail.com

 还有一个v0，用同样的方式解密一下

接上题，恶意程序偷取数据的发件邮箱地址是多少？[标准格式：lx@gmail.com]

temp1234@gmail.com

 这里比赛没有出，赛后参考了其他师傅的wp，如果收发邮件的话，就一定需要用到smtp，所以我们直接硬搜就好，全部解密，最后在d得到一个gmail邮箱

 接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]

 qwer123456

 接上题，e解出的一个字符很像密码

 接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

a

这题猜的，在邮箱这里的函数，所以猜测是a函数

 至此手机部分结束

计算机取证

分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？[标准格式：1A23456ABCD]

65B2564BG89F16G9

这里就直接仿真计算机打开pycharm就可以看到加密脚本中的key（这里需要保留原本的密码，火眼可以跑出密码Administrator | 990528 ，如果重置密码的话所需文件都会被加密隐藏内容）

 分析计算机检材，身份证为"371963195112051505"这个人的手机号码是多少？[标准格式：13013524420]

 15075547510

这题延续上题，先找到加密的内容，需要写一个解密脚本

 根据AES加密，需要的key和iv都有了，用解密脚本得到原文

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad

def aes_decrypt(encrypted_data, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    decrypted_data = cipher.decrypt(encrypted_data)
    unpadded_data = unpad(decrypted_data, AES.block_size)
    return unpadded_data.decode()

key = b'65B2564BG89F16G9'
iv = b'83E6CBEF547944CF'

encrypted_file = "encrypted_data.txt"
decrypted_file = "decrypted_data.txt"

with open(encrypted_file, "r") as f_in, open(decrypted_file, "w") as f_out:
    for line in f_in:
        parts = line.strip().split(',')
        index = parts[0]
        f_out.write(index + ",")

        decrypted_parts = []
        for encrypted_part_hex in parts[1:]:
            encrypted_part = bytes.fromhex(encrypted_part_hex)
            decrypted_part = aes_decrypt(encrypted_part, key, iv)
            decrypted_parts.append(decrypted_part)

        f_out.write(",".join(decrypted_parts) + "\n")

print("解密完成。")

得到原文后直接查找就可以了

 分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假)[标准格式：100]

分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？[标准格式：100]

分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？[标准格式：100]

这里三题就不赘述了，用数据库或者python脚本都可以直接得到，脚本用ai写就可以（我比赛就用的ai，很快）

 分析计算机检材，计算机中存在的“VPN”工具版本是多少？[标准格式：1.1]

 4.4

 这里的vpn工具是winxray，打开软件就可以看到一些基本工具

 分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？[标准格式：http://xxx.xx/x/xxx]

https://paste.ee/d/4eIzU

 分析计算机检材，eduwcry压缩包文件的解压密码是什么？[标准格式：abcabc]

 yasuomima

这题有点搞了，找了很久都没看见，最后觉得放一个bandzip在桌面奇奇怪怪的，打开找找，没想到在密码管理器里

分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。[标准格式：全小写]

这是我找到的病毒压缩包，我是直接跑的这个压缩包的md5，这题其实不太确定，主要是不太理解题干的意思

 分析计算机检材，接上题，请问恶意程序记录的洋葱浏览器下载地址是多少？[标准格式：http://xxx.xxx/xxx/xxx.zip]

分析计算机检材，接上题，请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式：全小写]

分析计算机检材，接上题，恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式：2]

分析计算机检材，接上题，请问@WanaDecryptor@.exe.lnk文件是通过什么函数创建的。[标准格式：Aabcdef]

分析计算机检材，接上题，恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式：sub_xxx]

病毒分析，微步扔进去，然后就不会了，打开病毒之后虚拟机就中毒，千万不要拿到本地打开，直接把exe放在微步上可以，不要不要打开。

分析计算机检材，VeraCrypt加密容器的密码是什么？[标准格式：abc]

备份文件是这个data，这就是个压缩包，拉到本地可以直接打开，不要被dd后缀给欺骗

 解压就能看见压缩密码

 分析计算机检材，其中存在一个苹果手机备份包，手机备份包的密码是什么？[标准格式：12345]

75966

用vc解密打开后是一个苹果备份，那就用火眼分析一下

 不过这是一个加密的苹果备份，经典爆破，这样的类型在中科实数杯也多次考到，所以不是一个冷门考点了，用passwarekit可以爆破

分析计算机检材，接上题，机主实际篡改多少条微信数据？[标准格式：1]

34

分析结果里的消息随便就是杯篡改的数据

 分析计算机检材，接上题，机主共存款了多少金额？[标准格式：10万]

这题找不到啊(#`O′)

 分析计算机检材，在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]

 340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

这里的apk说是在手机模拟器中，所以就不是微信发的，是在夜神模拟器中的，导出许羽

可以直接分析得到sha256

分析计算机检材，接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]

anzhuo.com

这里其实可以直接看敏感信息，注意格式中是一个类似地址的密码，所以就是anzhuo.com

至此计算机结束

流量做出来的不多，只有几题就不班门弄斧了，服务器当时做的时候一登陆就会删除数据，据说是单用户登录，不太会，只靠软件和手搓文件做了几题，重构部分没有成功，题目在不断的更新，还是得不断的学习，最后只能拿到第49名，被自己菜哭了，本人技术实在不精，writeup中如果有哪里有不对的地方还希望各位大佬可以斧正一下