加密容器密码:RLEQc2Xe65Q5GiCuRNMFrw==
2023年9月,某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人,两人谈论甚欢,确定网上恋爱关系,后邀约裸聊,受害人上钩后,“周微”和受害人进行裸聊,整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施诈骗。公安机关接警后,通过技术手段抓取了一段流量包,且通过公安机关的侦查与分析,锁定了该诈骗团伙的业务窝点,具了解,该团伙成员通过Telegram 联系ETH币商收币,双方在线上确定好了交易时间和交易金额(交易额为300万人民币),并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后,商定分两笔交易交割,第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址(由中间人控制),再由中转地址转到买币方提供的收币地址,买币方收到币后将带来的100万现金给卖币方清点,第一笔交易完成。 犯罪分子开始第二笔交易时,被警方当场截获。并将相关嫌疑人抓获,扣押安卓手机1部,笔记本电脑1台,调证服务器2台,以上检材以分别制作了镜像。检材清单见附件。请结合案情,对上述检材进行勘验与分析,完成以下题目。
“周微”:嫌疑人
1.请分析涉案手机的设备标识是_______。(标准格式:12345678)
85069625
2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)
2022-11-16 19:11:26
3.此检材共连接过______个WiFi。(标准格式:1)
6
4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)
手机的短信数据库名为:mmssms.db
17
5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)
http://m.ziyuanhu.com/pics/1725.html
6.请分析涉案海报的推广ID是________。(标准格式:123456)
114092
7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)
1
8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)
Gq20221101
9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)
com.chuci.voice
10.号商的联系人注册APP的ID是_________。(标准格式:12345678)
36991915
11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)
苏州
12.嫌疑人共购买_______个QQ号。(标准格式:1)
8
APK取证
1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)
d56e1574c1e48375256510c58c2e92e5
2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)
lx.tiantian.com
3.分析该apk,app的内部版本号是__________。(标准格式:1.1)
1.0
4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)
版本看manifest
11
5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)
lx.tiantian.com.activity.MainActivity
6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)
android.permission.READ_SMS
7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)
OP-264m10v633PC8ws8cwOOc4c0w
8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)
先找主函数!!!主函数中URL会记录,网络请求
app.goyasha.com
9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)
73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@
直接搜salt
10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)
lxtiantiancom
下面URL有“login”,登录网址
11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)H5D9D11EA
打包平台调证值:DCLOUD_AD_ID
12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)
192.168.5.80
13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)ade4b1f8a9e6b666
说是搜ade就出来了,但是为什么ade啊,没懂
14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)
4008522366
后面会说到
介质取证
1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)
Longxin360004
2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)
2023-09-16 18:20:34
3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)
13:41:16(还有前一天持续到今天的时间)
4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)
是
5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)
Mimi1234
先用秘钥解密
感觉像是文本,肯定改格式了
改后缀果然是文本
cmd5解密
6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)
19821
接上题肯定跟上题有联系不像这么简单
还有一个文件zip打开后里面也有一个工资条
解压要密码,,试试上题密码果然
7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)
Longxin@2023
只保存过这一个密码,试试网址是qq的
8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)
C:\Program Files (x86)\Tencent\WeChat\2.png
既然是手机里下载的在电脑肯定要用微信,在微信文件夹里一个一个找到的
9.请找出嫌疑人的2022年收入共_______。(标准格式:123)
205673
前面bitlocker解开可以发现还有个dd容器
仿真起来桌面有个TrueCrypt
,打开试试
没有秘钥,看答案才知道还能用刚才的图片为密钥进行解密,直接打开不行,还是找recycle.bin
但是盘古石可以直接看到删除的文件
10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)
6320005020052013476
1.服务器系统的版本号是_______。(格式:1.1.1111)
7.9.2009
2.网站数据库的版本号是_______。(格式:1.1.1111)
5.6.50
3.宝塔面板的“超时”时间是_______分钟。(格式:50)
120
先仿起来,还有很多限制需要取消、