第七届蓝帽杯取证部分复盘一题多解，apk取证，手机取证，计算机取证

赛后小结

这次蓝帽杯，我们队友之间合作的比较好了，我主要负责的是misc，apk取证，手机取证。但是比赛的misc居然是取证，没做出来，准备了一个暑假的misc压缩包，图片隐写等，没有用上。取证三个部分复盘了有三四天，比较慢，但能学到东西，和大佬们的交流真的受益匪浅。

取证检材容器密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

参考文章

https://www.cnblogs.com/WXjzc/p/17659719.html

2023第七届蓝帽杯初赛取证部分个人复盘(非官方wp，望各位大佬指正)_mo2901600657的博客-CSDN博客

https://mp.weixin.qq.com/s/blH9fCNiPUq2nI52-lwfpA

案情介绍

2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案 称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的 APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案 APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排 后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其 网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证，假设本案电子数据 由你负责勘验，请结合案情，完成取证题目。

apk部分

1、涉案apk的包名是？[答题格式:com.baid.ccs]

com.vestas.app

直接用安卓APK权限检测就可以查出来包名，摸瓜也是可以的

Apk messenger也是可以使用的，顺便提一下，3.0比4.0好用

2、涉案apk的签名序列号是？[答题格式:0x93829bd]

0x563b45ca

直接拿jadx-gui扫描apk文件，看附件就有序列号

3、涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

2147483647

在jadx里面直接搜索DCLOUD_AD_ID

4、涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

https://vip.licai.com

第一种方法：这个界面要多等一会才会出现，比赛的时候比较着急，出不来，白屏阶段就关掉了。

第二种方法：大佬介绍，先用jadx反编译，apk的重要文件assets找到，app-service.js里面就有服务器网址

5、涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

io.dcloud.PandoraEntry

主入口在摸瓜里面没有显示

然后决定用aapt处理apk文件，打开生成的文件，搜索activity

（ps：搜索package，后面就是包名）

手机取证

6、该镜像是用的什么模拟器？[答题格式:天天模拟器]

雷电模拟器

看文件名，leidian.xbox，所以是雷电模拟器

7、该镜像中用的聊天软件名称是什么？[答题格式:微信]

与你

介绍一下手机vmdk仿真的方法

这种是在软件里面打开的方法

第二种：可以先创建一个新的模拟器，然后关机，把手机文件夹下所有文件夹拖进去覆盖，再打开

两种方法都能进

用雷电模拟器打开vmdk之后，检查发现聊天软件 与你

8、聊天软件的包名是？[答题格式:com.baidu.ces]

com.uneed.yuni

第一种方法：在雷电模拟器手机中下载 “apk安装包导出软件”通过这个软件去查看包名

第二种方法：直接去Android/data里面看包名，com.uneed.yuni本人觉得不是很直白，但是下次的类似题目可能可以用。比如说，这里的com.vestas.app就是诈骗软件维斯塔斯.apk

9、投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

5万

检查 与你 聊天记录，发现最低投资

10、受害人是经过谁介绍认识王哥？[答题格式:董慧]

检查 与你 聊天记录，发现介绍人

计算机取证

11、请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

23f861b2e9c5ce9135afc520cbd849677522f54c

盘古石计算机取证可以直接出

12、给出pc.e01在提取时候的检查员？[答案格式：admin]

pgs

用x-ways打开镜像就能看到

13 、 请 给 出 嫌 疑 人 计 算 机 内 IE 浏 览 器 首 页 地 址 ？ [ 答 案 格 式 ： http://www.baidu.com]

答案不确定，http://global.bing.com或http://go.microsoft.com

仿真进来的

在注册表里面找启动页不是很容易，多去搜搜看，后面熟了就快了Computer\HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MAIN

14、请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

yang88/3w.qax.com

盘古石直接跑步不出来，没有密码，不确定

取证大师可以看到密码对应的NTHASH，但是cmd5网站上是付费记录

计算可知，取证大师是对的，只不过cmd5要收费

第二种方法：检视计算机文件，发现密码.txt

      第三种方法：用passware去跑内存，分析出账号密码，仿真用密码登录，浏览器里面的自动填充会保留，对应的就是网站前台的账号密码

15、请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

2023春季更新(14309)

先看创建一个pdf文件，关闭后再打开，发现默认程序是WPS，然后查看WPS版本号

16、请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

24cfcfdf1fa894244f904067838e7e01e28ff450

检视D盘，发现img镜像

用盘古石导出，分析后，发现C盘清理.bat

用盘古石计算SHA1

17、请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

3w.qax.com!!@@

检视计算机文件，发现密码.txt

第二种方法：检视系统后发现有问题的文档，导出再放入盘古石。一个txt有2G，很不正常，猜测是加密容器。然后利用盘古石内存分析跑出来，导出这个密钥文件，然后把，就可以去打开容器了。最后在重要资料.xlsx看到VC密码。

18、请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

3261

仿真进入系统，打开StarWind就可以看到

我觉得这里有个比较难的点就是，要知道去找starwind，检视软件之后，应该会想去打开看看

而且starwind有安装包，没见过没事，要好奇他是干什么的

19 、 请 给 出 嫌 疑 人 电 脑 内 iSCSI 服 务 器 CHAP 认 证 的 账 号 密 码 ？ [ 答 案 格 式 ： root/admin]

 user/panguite.com

把starwind文件夹全部导出，用vscode全局搜索内容，搜索user检查。

如果知道再starwind.cfg文件里面就会找的快，或者知道密码对应的是chapLocalSecret

20、分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式： 10000]

1019

在加密容器内找到表格

内存取证

21、请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 01:02:27

Votatility的默认时间是utc0，北京时间是utc+8

22、请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

3w.qax.com

见14

第四种方法：hashdump，不过还是同样的cmd5，查不出来

23、提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 01:01:25

Vol2用usbstor命令查出来

24、请给出用户yang88的LMHASH值？[答案格式：字母小写]

aad3b435b51404eeaad3b435b51404ee

使用Hashdump命令即可

25、请给出用户yang88访问过文件“提现记录.xlsx”的北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 00:29:16

直接去搜

26、请给出“VeraCrypt”最后一次执行的北京时间？[答案格式：2000-01-11 00:00:00]

2023-06-21 00:47:41

pslist，直接可以看到，要进行转换

27、分析内存镜像，请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次？[答案格式:10]

 2

直接可以看到

28、请给出用户最后一次访问chrome浏览器的进程PID？[答案格式：1234]

2456

直接搜，可得