2023年第一届“龙信杯”电子数据取证竞赛

比赛的时候花了40min去装龙信的软件了，有些题目只有龙信的软件可以直接出。后面的题目做的比较急，犯了一些低级的错误，格式看错了，base64加密没看出来等等。比赛的时候安装龙信的手机取证的软件还出错了，QQ里面的聊天记录不能查看，当时不知道什么情况，比赛之后才有报错，提示重装一遍，重装完就可以显示了。

复盘完除服务器以外的题目，适合新手入门，题目离实战还是有些差距的。

服务器这块的题目要绑定手机号，我的实在弄不好。

参考大佬文章：

第一届“龙信杯”电子数据取证竞赛Writeup-CSDN博客

https://www.cnblogs.com/WXjzc/p/17728788.html

https://mp.weixin.qq.com/s/C9qIR9Em73kVm6b6WCXKpw?poc_token=HP57FWWjJV9CJqLEbrJ2IT5CPuZKgTr3Hzho6HKy

手机取证

1.请分析涉案手机的设备标识是_______。（标准格式：12345678）

85069625

查看基本信息

2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

2022-11-16.19:11:26

这题格式写错了，很亏

3.此检材共连接过______个WiFi。（标准格式：1）

6

梭哈

4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

17

解压userdata.img,查看数据库

sms是短信的数据，read字段为0是未读，read字段为1是已读

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

http://m.ziyuanhu.com/pics/1725.html

 检索历史记录可以得到

6.请分析涉案海报的推广ID是________。（标准格式：123456）

114092

 

 浏览目录就能找到

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

1

看数据库就能找到

总结：像这种短信记录，看不到原貌的，去网上查下目录在哪里，一般来说，都会以数据库形式存储。

实战：

短信是：data/data/com.android.providers.telephony目录下的mmssms.db数据库文件中的sms表

通话记录：data/data/com.android.providers.contacts目录下的contacts2.db数据库文件中的call表

联系人是： data/data/com.android.providers.contacts目录下的contacts2.db数据库文件中的contacts表

那我们来找找通话记录表

 检视完这个数据库，发现没什么收获，我就在这个文件夹下再看看

calllog.db，猜测是通话的日志

打开一看果然是，和火眼里面的结果一样

发现后面的手机号归属地不明确，火眼里面更清楚

所以说，火眼直接帮我们查好了，直接看数据库是分析不出来的

8.通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

Gq20221101

当时比赛的时候，填的是这个微信号，聊天记录没读完，做急了 

在这里

9.请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

com.chuci.voice

不得不说，这是龙信软件的优点，可以直接将包名和软件名对应

10.号商的联系人注册APP的ID是_________。（标准格式：12345678）

36991915

这里要的是ID号，不是账号

11.嫌疑人于2022年11月份在_______城市。（标准格式：成都）

苏州

眼见不一定为实，按照照片去验证，先尝试去分析exif信息

后面想起来，qq，微信这些社交软件发图片如果不是原图都会自动抹除exif信息，从这里去找位置行不通

这是个取证比赛，不是osint比赛，所以再看看

图库里面有，帮我们分析好了，导出分析exif肯定也是这个结果

发现在苏州

12.嫌疑人共购买_______个QQ号。（标准格式：1）

8

分析可得

APK取证

先说说这个apk我找的思路，还得是龙信软件的优势

分析之后，目标聊天软件为“甜心密聊”，在这里可以找到安装路径，去下面看看

/data/app/~~bHUuRhDnXQeY4lr91PUg_Q==/lx.tiantian.com-xNCYppevFdsIGg_NlIP03A==

用火眼看也可以

在这里看也是可以的

这是利用安卓的机制，保存已经安装的软件的安装包，base.apk

1.分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

d56e1574c1e48375256510c58c2e92e5

2.分析该apk，apk的包名是________。（标准格式：com.qqj.123）

lx.tiantian.com

3.分析该apk，app的内部版本号是__________。（标准格式：1.1）

1.0

4.分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

12

先利用aapt插件导出信息

aapt dump badging  xxx.apk  > apkInfo.txt  

查到了

5.分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

lx.tiantian.com.activity.MainActivity

6.分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

android.permission.READ_SMS

这题有争议，大佬看源码说没有窃取短信，窃取了通讯录

7.APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

app.goyasha.com

 

就解题来说，摸瓜是最快的。不过这个apk脱离实战了，URL就给了两条，看标准格式就能直接填写了。看大佬的方法是去源码，这种方法我还有待提高。

9.分析apk源码，APP 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

因为是盐值，直接去搜索 salt

10.分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

lxtiantiancom

看到url带有login了，猜测是后台登录网址

11.对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）

H5D9D11EA

APP打包平台调证值就是 DCLOUD_AD_ID ,记得盘古石杯也有，这次还是忘记了

12.此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

192.168.5.80/login

可以直接猜测 192.168.5.80/login

未被引用，抓包出不来的

比赛的时候用火眼的软件进行抓包了，倒是抓包到了app.goyasha.com，但是没有ip地址，这题有点问题的

13.分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）

ade4b1f8a9e6b666

复盘的时候，看后台地址的时候翻到的

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

4008522366

见pc取证复盘最后

介质取证

1.对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

Longxin360004

比赛的时候，尝试用了各种方法去找了pc密码，但是实在找不出来，只有NThash值08f58906a10be263e0283901d8af4075，但是hash反差查不出来，只能说hash反差比赛题目基本都查不出来的。

火眼会直接绕过密码，不能知道密码自己去输入，绕过密码很多记录都会被删除掉。

直接去点登录，出错给密码提示，工号去镜像里面找，有工资表

查到工号

2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

2023-09-16.18:20:34

看开关机记录就可以了

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

答案有问题，我是把所有时间都算上去了，手算的

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

是

 

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

Mimi1234

下载下来，也可以用010打开

比赛的时候没有意识到这是一个base64加密，太不应该了

6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

19821

用上题的密码打开 文件.zip

直接填工资表的数据是错的

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

Longxin@2023

绕过开机密码这里就会丢失，可以去学习下vmdk镜像挂载，这样没有第三方软件，直接使用vm也同样可以

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

C:\Program Files (x86)\Tencent\WeChat\2.png

$recycle.bin文件夹是系统重要的隐藏文件，一般存在于磁盘根目录下。是windows“回收站”在分布在每一个磁盘上的链接文件夹，用于保存磁盘上删除的文件或者文件夹信息，它的作用就像是当前驱动器的回收站。

检查每个磁盘的recycle.bin文件夹，发现png文件

正是手机取证里面找到的那张

发现文件

第一个路径

第二个路径，可以签名看源码

9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

205673

找到这个加密容器

我当时发现了这个加密容器，但是不知道是哪一题的，密钥也不知道是啥

结果就是用tc模式，刚才的图片为密钥进行解密，思路新奇，我是第一次见

直接打开不行，还是找recycle.bin

算一下就行

10. 分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6320005020052013476

重要信息.txt

AES解密，利用apk里面的key和IV

虚拟币分析 

1.分析涉案计算机，正确填写中转地址当前的代币种类______。（标准格式：BNB）

ETH

2.分析涉案计算机，正确填写中转地址当前的代币余额数量_______。（标准格式：1.23）

进入之后就要断网，不然就归零了

3.根据中转地址转账记录找出买币方地址。买币方地址：_____（标准格式：0x123ABC)

0x63AA203086938f82380A6A3521cCBf9c56d111eA

卖币方转0.5个ETH到买币方钱包

第一笔交易价值100万的虚拟货币

第二笔交易交易200万的虚拟货币

这题有问题，0.5付给买方地址，怎么和第一笔交易的中间人地址一样？？？

这个部分还可以看数据库解，详细看参考文章，能学到东西

4. 根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

150.5

进去瞬间需要断网

5. 在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

A. raw sausage art hub inspire dizzy funny exile local middle shed primary

B. raw sausage art hub inspire dizzy funny middle shed primary

C. raw sausage art funny exile local middle shed primary

A

查下格式就知道了

6. 假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

A. 0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

B. 0x63AA203086938f82380A6A3521cCBf9c56d111eA

C. 0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

B

 

在这里导入

看到了

流量分析 

1. 分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A. DDoS攻击

B. DoS攻击

C. SQL注入

D. 文档攻击

B

 

以数据包大小排列，看到10.5.0.19被116.211.168.203爆破了，一台攻击机就是Dos攻击。

多台攻击机就是DDos攻击

2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

116.211.168.203

10.5.0.19是攻击机，116.211.168.203是公网的服务器

3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

120.210.129.29

10.5.0.19是攻击机，120.210.129.29是文件下发的服务器，下发了java.log文件给攻击机

4.分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：XXX）

Struts2

 

导出数据，删掉响应头，拿到微步里面分析

有风险

往前看看

看到payload搜索

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

87540c645d003e6eebf1102e6f904197

6.分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

get请求，进行url解码

看到上传png了

1. 分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

passwd

8.分析“数据包2.cap”，其下载的文件名大小有________字节。（标准格式：123）

211625

服务器取证1

1.服务器系统的版本号是_______。(格式:1.1.1111)

7.9.2009

直接出

这样也可以

服务器的内核版本：uname -a

2.网站数据库的版本号是_______。(格式:1.1.1111)

5.6.50

3.宝塔面板的“超时”时间是_______分钟。(格式:50)

120

登录的时候有这个验证，bt 23 && bt 24关闭即可

4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39

找到文件，/www/backup/site/wwwroot.tar.gz