2024中科实数WP

总结

坤坤教我：

仿真进去后先看浏览器记录，和win+d输入recent查看一些信息

备份文件常见路径

Windows: \Users\(username)\AppData\Roaming\Apple Computer\MobileSync\Backup\

MacOS: ~/Library/Application Support/MobileSync/Backup/

在实际做题过程中，一开始对案件是陌生的，只能根据题目来寻找信息，在寻找的过程中，会发现许多信息，对于一些图片、密码之类的可疑信息一定要做好记录，方便之后随时跳转和联想，典型的寻找盗墓地点经纬度，图片在一开始就发现了，但没有留下痕迹，导致后续做题有印象但是不记得在哪出现过

背景

第五届“中科实数杯”全国电子数据取证与司法鉴定挑战赛山西省公安机关接到线报，有一伙人长期从事盗墓和贩售文物活动，形成了一条龙的犯罪链条。经过数月侦察，警方掌握了该团伙的核心成员信息，并成功在一次交易中将多名嫌疑人抓获，现场扣押了大量文物及嫌疑人手机，并在突击审讯后在其老巢起获了多台笔记本电脑及电子存储设备。现需要对这些设备进行全面取证分析，以获得更多犯罪证据，彻底摧毁这一犯罪网络检材清单：经山西省公安厅司法鉴定中心甄别及结合前期侦察、审讯。

涉案检材清单如下：

1、犯罪嫌疑人张老四的iphone手机备份一个；

2、犯罪嫌疑人王胖子的安卓手机备份一个；

3、犯罪窝点起获的windows笔记本电脑A镜像一个；

4、犯罪窝点起获的macbook笔记本电脑B镜像一个；

5、犯罪窝点笔记本电脑A内存镜像一份；

6、后期归案的犯罪嫌疑人大金牙工作安卓手机备份一个；

7、犯罪窝点的u盘镜像一个；

8、后期归案的犯罪嫌疑人眼镜仔工作iphone手机备份一个

检材一（张老四IOS手机）

1.检材 1-的手机序列号是？

C39QTS9JGRX5

2.检材 1-的备份时间是？（格式：yyyy-mm-dd HH:mm:ss）

2024-07-11 02:09:02

*3.检材 1-最近使用的 APP 是？（应用名称）

检材二（王胖子Android手机）

4.检材2-即时聊天工具有哪些？

*5.检材2-盗墓团伙之间的通讯APP版本是多少？（格式：x.x.x）

通讯APP就那么几个，优先看QQ和陌陌，因为他们有聊天记录

qq里就3条消息，这种很有可能是暗话，因此有可能是QQ，继续分析

然后陌陌里面看了以后感觉也不是

感觉像是在钓鱼

还有微信、城信、铛铛没分析，但是火眼并没有给出这几个的分析结果

那就去找找数据库什么的，你需要在sqlite files这一搜索应用包名

会出现很多数据库，只能粗略预览列名来推测，因为文件太多了

这是一个比较麻烦耗时的过程

这是检材二中陌陌的数据库，没有获取可用的信息

然后由于城信包名为：com.chengxin.talk

搜索chengxin和talk均无果

这是检材二中铛铛的的数据库，也没有可用的信息

此时我差不多锁定答案为QQ了

后来看wp才知道他的火眼看到的东西竟然比我们多，他的火眼能直接分析铛铛

不过还是有办法，既然是一个盗墓团伙，题目也说了他们之间有专门的通讯app

那就不应该只局限于检材二，刚做过的检材一也是盗墓团伙其中一个人的手机

可以去那里面看看

这里有3个数据库有关铛铛，先预览一下

发现88kb的这个文件中列名比较可疑Conversation Message

点进去详细看啥也没有，可以将其导出来，用navicat打开

然后发现了聊天记录，很明显，他们之间交流的app就是铛铛

题目问的是版本号

3.0.36

这道题比较抽象，别人火眼能看到我看不到

*6.检材2-盗墓团伙抱怨的工具有哪些？

锁定app为铛铛后，就仔细查查铛铛的数据库

只要是稍微列名多一点的，就导出来用navicat看看

这个文件比较可疑，我一开始是在资源管理器里打开看的

发现dbbrowser和navicat均打不开

恼火

后来发现必须是导出才能正常打开

发现了抱怨类信息

铲子、绳子、电筒、指南针

7.检材2-盗墓团伙之间的通讯APP 证书指纹SHA256值是多少？（格式：xx:xx...或xxxx...）

使用雷电APP智能分析分析铛铛

f6605feeee5844b40d457652f0fe8a54ae237f745ff82131bafd196cfa3e17af

*33.盗墓地点的GPS 经纬度（格式：经度xx,xx,xx，纬度xx,xx,xx)

记得之前在数据库里看到了地点

王墓坡

但是仅仅根据这个不足以知道经纬度

可以看到这个记录里面有图片，去火眼里看看

但是我火眼里分析不了铛铛，wp说检材2里面有个压缩文件backup_image.zip

这个文件其实我早就打开看过，但是当时并没留意

图1图片属性有经纬度

经度：112,36,57 纬度：37,50,45

34.盗墓前集合地的GPS 经纬度（格式：经度xx,xx,xx，纬度xx,xx,xx)

根据聊天记录可知，12号上午在此照片处集合

图片上是太原站

经度：112,36,53 纬度：37,47,51

35.盗墓后集合地的GPS 经纬度（格式：经度xx,xx,xx，纬度xx,xx,xx)

不出意外，这里三张图是连在一起的，这里指的就是image3

经度：112,36,52 纬度：37,47,51

检材三（眼镜仔计算机A）

这个计算机有bitlocker，他还给了一个计算机A的内存镜像

和2023年中科实数差不多，用efdd跑

010461-617507-553498-499752-253286-356334-124773-180169

8.检材3-硬盘的MD5值

01A2CDF623353043053ED37A7519265B

9.检材3-硬盘系统分区的起始位置

起始位置和起始扇区是不一样的

判断系统盘为分区6后，找到对应的起始扇区

然后将其乘以512bit得起始位置

官方WP说是取16进制14900000

344981504

10.检材3-系统的当前版本是多少

这里有两个版本，不是很清楚有什么区别

问了AI后知道操作系统版本类似于Windows、Linux、Mac等

这道题问的应该是当前版本号

10

但是wp用的是中科实数自己的软件，可以看到别的

11.检材3-Edge 浏览器最后一次搜索过的关键词是什么

搜索历史里看

狼眼手电

12.检材3-Edge 浏览器最后一次访问过的与盗墓及文物有关的网站URL

https://baijiahao.baidu.com/s?id=1599783184726705131

13.检材3-主用户的NT密码哈希值

我记得有次校赛就考到了NT密码，用到的取证大师

这里没有授权，火眼找半天也没找到

不过wp也是在取证大师里看到的

其实知道了jacky的密码，可以对其手动NTLM加密

a0bad269b8d49ccf481513f9875be4c7

24.检材3-系统登陆密码

？？？这题为什么放在24

20242024

45.检材3-BitLocker 恢复密钥

检材三刚开始就求了

010461-617507-553498-499752-253286-356334-124773-180169

检材四（Mac计算机B）

这个检材中有个IOS备份

双重过滤才找出来，少一个都不行

将文件导出来，同时导出父文件夹backup

将backup作为新的检材导入火眼

密码用passware爆破Manifest.plist得到

364289‘

得到的备份是眼镜仔的手机

14.检材4-Mac OS 的版本号（格式：x.x.x）

12.7.5

15.检材4-加密货币软件的名字

仿真进去看，有个okx程序，点进去看看

okx

16.检材4-Safari 浏览器最后一次搜索过的关键词是什么

洛阳铲

17.检材4-MacBook pro 最后一次访问的文件名

提示.doc

*18.检材4-Edge 浏览器最后一次访问过的与盗墓及文物有关的网站

仿真进去

wp说是这个网站：文物流转站聊天室

文物流转站聊天室

19.盗墓团伙最近一次盗墓日期是？（格式：yyyymmdd）

依稀记得在检材一中的铛铛数据库，看到的信息中提到了日期

猜测日期为：20240712

20240712

20.盗墓团伙最近一次盗的墓名是？

还是在检材一的铛铛数据库中

王墓坡

21.大金牙的手机号码是什么？

13913913916

检材六（大金牙-Android手机）

25.该案件中，文物贩子的买家有谁？（给出对应账号名）

在检材六中Telegram软件有大金牙与买家的交流信息

打开这些图片一看

包是买家的

James、David

26.该案件中，文物贩子与买家的通讯APP 的包名是？

由上题可知，他们用的是Telegram

直接在文件里搜关键词telegram

这就是包名

org.telegram.messenger.web

*32.该案件中，文物贩子卖出的文物名为“SX-WW-202407001”价格是多少？

文物贩子首先锁定大金牙，

聊天记录里有几张文物图片

这里也有提示

分别用Stegais打开

68600ETH

36.检材6-中最近一次呼入的号码是？

9528207

37.检材6-浏览器第一次搜索的内容是？

隐写工具

38.检材6-手机所使用的翻墙APP 是？

clash

39.检材6-翻墙APP 所使用的订阅地址是？

https://miaomiao.xn--7rs48z0nlr6hc8cqz4a.com/api/v1/client/subscribe?token=1357e1cbda597141d15ae689b3d470d7

40.检材6-手机上安装了哪些隐写工具？

首先肯定有这个：Stegais

这个软件右边这个看着也挺可疑的，因为名字有点像

Stegais，Steganography

检材七（U盘镜像）

*22.检材7-虚拟货币钱包的地址

23.检材7-虚拟货币助记词

导出来后发现加密，先用passware kit爆破，无果

但是想起在检材四中的聊天室提到：密码是8位纯数字

于是就出来了

love can play games tomorrow money

检材八（眼镜仔-IOS手机）

*27.大金牙的真实姓名可能是？

前面给出了电话号码，我寻思着在别人手机通讯录里搜搜

就眼镜仔手机通讯录人比较多

但是无数据，别的手机通讯录人很少，一眼能看到头

没辙，去看wp后发现

mmd，单独把他电话号码拎出来打空格服了

28.盗墓团伙要求用什么的虚拟货币交易？（字母简称，例：BTC、ETH）

这里要用到之前获得的眼镜仔手机备份

MATIC

29.该案件中，谁是文物贩子？

由聊天记录知，眼镜仔应该是盗墓的，偷窃文物的

大金牙再通过Telegram与外国佬联系，卖出去

综合来看，文物贩子是大金牙

大金牙

30.盗墓团伙最近一次交易的文物有几个？

之前在大金牙手机上看到了这个聊天记录

这里有个加密文件，由于不知道密码，放了有一会儿

后来在眼镜仔手机备份里看到了同样的聊天记录

在这上面便有密码，以及上次交易时传的文件

解密解压之后发现是几张文物图片，应该是用于交易前供其参考的

仔细看会发现图1和图2是同一个，最后两个是同一个

5

31.盗墓团伙最近两次的交易金额是多少？（例：250 BTC）

这里加价为88000 MATIC

这里是100000 MATIC

加起来188000 MATIC

188000 MATIC

41.检材8-使用的苹果账号是？

虽然没有明说苹果账号

但是从后面的apple.accounts能看出账号是这个

rdmf_top@163.com

42.检材8-系统版本是？（x.x.x）

17.5.1

43.检材8-使用的WiFi 网络名为“大兄弟的网络”的MAC 地址是？（例：xx:xx...）

这个要在备份里看

5e:37:7d:2a:47:5e

44.检材8-手机IMEI 是？

357272092128408