2024年第二届“龙信杯”电子数据取证部分复现

最新推荐文章于 2024-10-11 21:40:53 发布

LLINELL

最新推荐文章于 2024-10-11 21:40:53 发布

阅读量620

点赞数 10

文章标签： 24龙信杯电子取证

本文链接：https://blog.csdn.net/2401_82985722/article/details/142621908

版权

容器密码：MjAyNOm+meS/oeadrw==

案情介绍：

近期，某公安机关正式受理了一起受害者报案案件。受害者陈述称，其通过微信平台结识了一名自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动，即所谓的“选妃”过程。在受害者不察之下，整个交流过程被犯罪团伙暗中录音录像。随后，该客服人员以提供更多潜在相亲对象为由，诱导受害者下载并安装了一款预先准备好的恶意木马应用程序（APP）。一旦受害者安装了此 APP，犯罪嫌疑人便利用手中掌握的录音录像资料以及受害者的通讯录信息作为威胁手段，对受害者实施多次敲诈勒索和诈骗行为。面对持续的精神压力和经济损失，受害者最终不堪重负，决定向公安机关报案，以期揭露并制止这一恶劣的犯罪行为。

警方赶到现场后，发现涉案团伙参与另一起侵公案件，故迅速对现场设备进行证据固定制作镜像，并制作以下检材清单，请对检材分析

复现参考大佬wp：

第二届龙信杯电子数据取证竞赛部分Writeup

https://blog.xsmzzz756.top/2024/10/07/%E9%BE%99%E4%BF%A1%E6%9D%AF%E5%8F%96%E8%AF%81/

2024龙信杯 - WXjzc - 博客园

手机取证

1.分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]

2

要查看adb的相关配置，可以在/misc/adb/中找到，在此文件夹中包含了adb_temp_keys.xml，其中存储了adb密钥，那么受害人手机上包含了2条密钥，因此连接过2台设备。

adb_temp_keys.xml中包含了两个ADB（Android Debug Bridge）密钥的XML文件内容，
ADB密钥用于在计算机和Android设备之间建立信任关系，从而允许设备进行调试和管理。
每个<adbKey>标签包含了密钥的值以及最后连接的时间戳。

2.分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]

2024-08-23

在便签中可以直接找到8月12日说下周五考试，去看日历下周五是8月23日

3.分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]

48:87:59:76:21:0f

蓝牙Mac地址在基本信息中可见

4.分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]

6

使用火眼时要勾选分析耗时任务中的 特征分析，在特征不符中发现6个后缀为.txt的压缩文档

5.分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]

15599555555

这题是和上一题结合起来的，上一题的文件包含在 FileComporess 目录下，所以直接找FileComporess的apk，雷电分析后反编译源码看主函数有密码

找到解压密码 1!8Da9Re5it2b3a. 对6个压缩包进行解密。

在mm.txt中发现155号码

6.分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）

d7Avsd!Y]u}J8i(1bnDD@<-o

接上题，解压后即得

7.分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]

陆俊梅

加密容器是受害人手机检材.tar/media_425/0/Download/data ，密码接上题，使用TC挂载

有一个表格和一张图片

法一：

因为题目描述修改了名字，那么可能是一个手机号对应了多个名字

使用python脚本查找：

脚本来自大佬:2024年第二届龙信杯 WP_2024龙信杯wp-CSDN博客

import pandas as pd
file_path = 'L:/名单数据.xlsx'
df = pd.read_excel(file_path)
phone_to_name = {}

for name, phone, inviter, inviter_phone in zip(df['姓名'], df['手机号'], df['邀请人'], df['邀请人手机号']):
    if phone not in phone_to_name:
        phone_to_name[phone] = name
    elif phone_to_name[phone] != name:
        print(f"警告：手机号 {phone} 对应了多个不同的姓名：{phone_to_name[phone]} 和 {name}")

    if inviter_phone not in phone_to_name:
        phone_to_name[inviter_phone] = inviter
    elif phone_to_name[inviter_phone] != inviter:
        print(f"警告：手机号 {inviter_phone} 对应了多个不同的邀请人：{phone_to_name[inviter_phone]} 和 {inviter}")

#警告：手机号 15979503550 对应了多个不同的姓名：陆陆 和 陆俊梅

法二：010分析发现png图片中还存在一个Excel表格

Microsoft Excel 表格文件十六进制开头: D0 CF 11 E0 A1 B1 1A E1

使用foremost分离文件

应该是能分离出一个原始的文件，与“名单数据.xlsx” 比较不同之处。

使用python脚本：龙信杯复现（23、24） | Bthcls'Blog

import pandas as pd

# 加载两个Excel文件
df1 = pd.read_excel('1.xlsx')
df2 = pd.read_excel('2.xlsx')

# 确保两个表格的行和列对齐
df1 = df1.reindex_like(df2)

# 比较两个表格
differences = df1.compare(df2)

# 打印出不同的单元格
if not differences.empty:
    print("以下是两个表格中不同的单元格内容：")
    print(differences)
else:
    print("两个表格内容完全相同。")

# 如果需要，可以将差异保存到一个新的Excel文件中
differences.to_excel('differences.xlsx')

8.分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]

刘珏兰

9.分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]

12

按手机号，因为有两个重名的

用网矩分析最高层级是11级，没有算总部，所以是12级

10.分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100]

60

接上题总部邀请的人有11人，这里看直接下游人数（直接邀请人数）最多的，是贾书英60人

11.分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]

2

在隐空间中可见多开的2个应用

12.分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]

2

用龙信的工具可见

13.分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]

1836042664454131712

14.分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录？[标准格式：2]

1

上一题标黄的消息即为删除的消息

15.分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]

com.lxlxlx.luoliao

查看微信聊天记录获取滴滴滴.apk，雷电分析

// 以下逆向解码目前我看不懂是啥，看了大佬的wp先跟着弄一下出个结果

16.接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]

40085222666

分析一下 com.gass.mobileH.MainActivity 源码

这里是 w0+x0（base64+AES解密CyberChef使用 AES加解密&中文乱码问题）

使用了AES加密

17.接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：lx@gmail.com]

1304567895@gmail.com

v0解密为邮箱

18. 接上题，恶意程序偷取数据的发件邮箱地址是多少？[标准格式：lx@gmail.com]

temp1234@gmail.com

发邮件一般会用到smtp，所以直接搜smtp

SMTP是一种提供可靠且有效的电子邮件传输的协议。

19.接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]

qwer123456

20.接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

a

上面是定义和实例化类，下面是收发的一些东西

无论是否发生异常，都返回true

计算机取证

保留密码

有efs加密文件

1.分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？[标准格式：1A23456ABCD]

65B2564BG89F16G9

2.分析计算机检材，身份证为”371963195112051505”这个人的手机号码是多少？[标准格式：13013524420]

15075547510

根据加密脚本让ai写个解密脚本解密（解密时间挺长的）

from Crypto.Cipher import AES
from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad

def aes_decrypt(encrypted_data, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    decrypted_data = unpad(cipher.decrypt(encrypted_data), AES.block_size)
    return decrypted_data.decode()

key = b'65B2564BG89F16G9'
iv = b'83E6CBEF547944CF'

input_file = r"E:\Python\encrypted\encrypted_data.txt"
output_file = r"E:\Python\decrypted\decrypted_data.txt"

def process_decrypted_data(input_file, output_file, key, iv):
    with open(input_file, "r") as f_in, open(output_file, "w") as f_out:
        for line in f_in:
            parts = line.strip().split(',')
            index = parts[0]
            f_out.write(index + ",")

            decrypted_parts = []
            for part in parts[1:]:
                encrypted_part = bytes.fromhex(part)
                decrypted_part = aes_decrypt(encrypted_part, key, iv)
                decrypted_parts.append(decrypted_part)

            f_out.write(",".join(decrypted_parts) + "\n")

process_decrypted_data(input_file, output_file, key, iv)

print("解密完成。")

3.分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假)[标准格式：100]

0

根据身份证号使用python脚本检查：

// 这段Python代码使用了pandas库来读取一个位于D盘的名为'decrypted_data.txt'的文件，该文件存储的是以逗号分隔的值（CSV）。
//文件被读取时没有指定表头，因此默认将第一行也作为数据处理，同时给数据列指定了名称：'序号', '姓名', '身份证', '手机号', '性别'。
//由于文件可能是中文编码，因此指定了编码方式为'gbk'。

import pandas as pd

df = pd.read_csv(r'D:\24龙信\计算机\decrypted_data.txt',header=None,names=['序号','姓名','身份证','手机号','性别'],encoding='gbk')
print(len(df['身份证'])-len(df['身份证'].unique()))
男性数量 = 0
异常数量 = 0
for index,row in df.iterrows():
    if int(str(row['身份证'])[-2]) % 2 == 1:
        男性数量 += 1
    if row['性别'] == '男' and int(str(row['身份证'])[-2]) % 2 == 0:
        异常数量 += 1
    elif row['性别'] == '女' and int(str(row['身份证'])[-2]) % 2 == 1:
        异常数量 += 1
print(男性数量,异常数量)

4.分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？[标准格式：100]

5001714

使用脚本查找：

import pandas as pd

# 读取CSV文件
df = pd.read_csv(r'D:\24龙信\计算机\decrypted_data.txt', header=None, names=['序号', '姓名', '身份证', '手机号', '性别'], encoding='gbk')
man = 0
for index,row in df.iterrows():
    if int(str(row['身份证'])[-2]) % 2 == 1:
        man += 1
# 输出结果
print(man)

5. 分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？[标准格式：100]

5001185

脚本：

import pandas as pd

df = pd.read_csv(r'D:\24龙信\计算机\decrypted_data.txt', header=None, names=['序号', '姓名', '身份证', '手机号', '性别'], encoding='gbk')
异常数量 = 0
for index,row in df.iterrows():
    if row['性别'] == '男' and int(str(row['身份证'])[-2]) % 2 == 0:
        异常数量 += 1
    elif row['性别'] == '女' and int(str(row['身份证'])[-2]) % 2 == 1:
        异常数量 += 1
print(异常数量)

6.分析计算机检材，计算机中存在的“VPN”工具版本是多少？[标准格式：1.1]

4.4

在E盘下的WinXway中，打开后看软件的title

7.分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？[标准格式：http://xxx.xx/x/xxx]

https://paste.ee/d/4eIzU

8.分析计算机检材，eduwcry压缩包文件的解压密码是什么？[标准格式：abcabc]

yasuomima

密码管理器：

查看输入法：

9.分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。[标准格式：全小写]

不会逆向分析

10.分析计算机检材，接上题，请问恶意程序记录的洋葱浏览器下载地址是多少？标准格式：[http://xxx.xxx/xxx/xxx.zip]

https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip

将eduwcry压缩包文件解压，在其中的c.wnry中找到（提前把火绒关了，不然会被查杀）

但这样做的结果就是中病毒，我后面重新创建了一下

11.分析计算机检材，接上题，请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式：全小写]
12.分析计算机检材，接上题，恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式：2]
13.分析计算机检材，接上题，请问@WanaDecryptor@.exe.lnk文件是通过什么函数创建的。[标准格式：Aabcdef]
14.分析计算机检材，接上题，恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式：sub_xxx]