2023“龙信杯”手机、APK、介质

加密容器密码：RLEQc2Xe65Q5GiCuRNMFrw==

2023年9月，某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。公安机关接警后，通过技术手段抓取了一段流量包，且通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，具了解，该团伙成员通过Telegram 联系ETH币商收币，双方在线上确定好了交易时间和交易金额（交易额为300万人民币），并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后，商定分两笔交易交割，第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址（由中间人控制），再由中转地址转到买币方提供的收币地址，买币方收到币后将带来的100万现金给卖币方清点，第一笔交易完成。 犯罪分子开始第二笔交易时，被警方当场截获。并将相关嫌疑人抓获，扣押安卓手机1部，笔记本电脑1台，调证服务器2台，以上检材以分别制作了镜像。检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

“周微”：嫌疑人

---

1.请分析涉案手机的设备标识是_______。（标准格式：12345678）

85069625

2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

2022-11-16 19:11:26

3.此检材共连接过______个WiFi。（标准格式：1）

6

4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

手机的短信数据库名为：mmssms.db

17

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

http://m.ziyuanhu.com/pics/1725.html

6.请分析涉案海报的推广ID是________。（标准格式：123456）

114092

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

1

8.通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

Gq20221101

9.请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

com.chuci.voice

10.号商的联系人注册APP的ID是_________。（标准格式：12345678）

36991915

11.嫌疑人于2022年11月份在_______城市。（标准格式：成都）

苏州

12.嫌疑人共购买_______个QQ号。（标准格式：1）

8

APK取证

1.分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

d56e1574c1e48375256510c58c2e92e5

2.分析该apk，apk的包名是________。（标准格式：com.qqj.123）
lx.tiantian.com

3.分析该apk，app的内部版本号是__________。（标准格式：1.1）

1.0

4.分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

版本看manifest

11

5.分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

lx.tiantian.com.activity.MainActivity

6.分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

android.permission.READ_SMS

7.APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

先找主函数！！！主函数中URL会记录，网络请求

app.goyasha.com

9.分析apk源码，APP 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

直接搜salt

10.分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

lxtiantiancom

下面URL有“login”，登录网址

11.对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）H5D9D11EA

打包平台调证值：DCLOUD_AD_ID

12.此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

192.168.5.80

13.分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）ade4b1f8a9e6b666

说是搜ade就出来了，但是为什么ade啊，没懂

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

4008522366
后面会说到

介质取证

1.对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

Longxin360004

2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

2023-09-16 18:20:34

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

13:41:16（还有前一天持续到今天的时间）

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

是

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

Mimi1234

先用秘钥解密

感觉像是文本，肯定改格式了

改后缀果然是文本

cmd5解密

6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

19821

接上题肯定跟上题有联系不像这么简单

还有一个文件zip打开后里面也有一个工资条

解压要密码，，试试上题密码果然

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

Longxin@2023

只保存过这一个密码，试试网址是qq的

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

C:\Program Files (x86)\Tencent\WeChat\2.png

既然是手机里下载的在电脑肯定要用微信，在微信文件夹里一个一个找到的

9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

205673

前面bitlocker解开可以发现还有个dd容器

仿真起来桌面有个TrueCrypt，打开试试

没有秘钥，看答案才知道还能用刚才的图片为密钥进行解密，直接打开不行，还是找recycle.bin

但是盘古石可以直接看到删除的文件

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6320005020052013476

1.服务器系统的版本号是_______。(格式:1.1.1111)

7.9.2009

2.网站数据库的版本号是_______。(格式:1.1.1111)

5.6.50

3.宝塔面板的“超时”时间是_______分钟。(格式:50)

120

先仿起来，还有很多限制需要取消、