关于电子取证（1）

        首先，我觉得是关于电子取证的“证”的介绍，它一般就是指电子数据

   电子数据可以分为： “计算机证据”“电子证据”“电子物证”“数字证据”
    我们将电子证据理解为∶在计算机等电子设备中存在或运行中产生的以及在网络中存在和产生的以其记录的内容来证明案件事实的电磁记录物。
    数字证据作为一种可以证明案件事实的证据形式和法庭上的证据，与传统证据一样，数字证据必须是︰
        可信的
        准确的
        完整的
        使法官信服的
        符合法律法规，能够为法庭所接受的
    与传统证据相比，数字证据具有如下特点∶
        无形性
        高科技性
        易破坏性
        表现形式的多样性
    电子数据取证︰**使用软件和工具，按照一些预先定义的程序全面地检查计算机系统，以提取和保护有关犯罪的证据。**通过收集计算机系统、网络系统以及其它电子设备中以数字化的信息编码形式出现的与案件有关的信息，对其进行保存、分析鉴定和出示，用来证明犯罪活动的过程。

电子数据

电子数据的来源:

    计算机硬盘中储存的电子数据:
    文档资料、电子表格
    应用程序、数据库资料等

    多媒体的数码档案:
    照片，影片，音乐或国像等

    服务器或工作站的工作纪录:
    网页服务器纪录，代理服务器纪录
    防火墙纪录，档案传输(FTP)服务器

    纪录数据库服务器纪录等

    经由互联网传递的电子信息:
    电子邮件
    SMS短讯、MMS多媒体短讯

    网上购物、游戏、聊天记录等
            然后是对电子取证的解释：电子取证是指利用电子技术以合法方式进行的证据获取、保存、分析和出示的行为。在获取过程中，必须遵循相关的法律和规则，以确保证据的合法性和有效性。电子取证可以利用电子信息更加便捷地获取犯罪证据，对于打击计算机犯罪具有重要意义。在进行电子取证时，应当遵循一些特定的规则，以确保获取的证据合法、真实和有效。这些规则包括：取证程序合法、取证手段合法等。在具体的操作过程中，必须严格遵守相关法律法规，不得侵犯他人的合法权益。只有这样，才能确保电子取证工作的合法性和有效性，为打击计算机犯罪提供有力的证据支持。

        然后，有一定了解以后，就是了解一下相关的题

        下面是关于，2021年长安杯，第一部分的题目的做题记录

        首先先查看题目背景及要求

然后尝试打开，取证软件进行分析。

一顿操作以后，发现对第一部分并没有什么用，

又回去看题目，发现检材一里面应该是要有一个软件包，但是，检材容器里面我找不到

一顿操作和查找，还有询问以后，发现要用vc挂载（我都是第一次听说这个东西），然后就用雷电成功打开了

然后呢在雷电这里就可以找到很多题目问的信息了

哈希值

权限

应用包名

等等信息

然后回传的通讯录信息的请求方式那些，本来我是想用bp把模拟器和主机连接起来，然后用bp抓手机的应用数据流来看的

但是一顿尝试后，技术不到位，bp抓不到

换了一种思路，用起来也够快，就是逆向去找，使用jadx去找它的网页信息，发现文本信息

首先，可以用jadx直接搜索定位到，那个文件夹，但是雷电自带的jadx，搜不了文本信息，所以我是去翻资源文件，看见app那个文件夹一步一步，眼搓出来的，运气好，恰好三个都是关键信息的文件夹。

然后那个请求方式，好像我在雷电抓网络数据包的时候，就查看到了是POST，但是我也不确定，这里忘记截图了

在这个界面往下看，发现有一串sojson的代码，通过查询以后，发现可以解密，解密以后发现内容很关键

因为原文件不支持编辑，所以这里把原文件夹里的内容挪到了notepad++里面来看，通过查找格式，找到了后面的内容

就是该APK程序代码中配置的变量那些信息

然后第一部分的解答就到这里结束了