2024年电子数据取证“獬豸杯”比赛

 手机备份包

【手机基本信息-1】1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

文件夹名就是备份时间

2024-01-15.14:19:44

【手机基本信息-2】2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

3 

【手机基本信息-3】3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）

89860320245121150689 

【手机基本信息-4】4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

在短信中可以看到登录小西米的登录验证码

2024-01-15 

【地图数据-1】1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园） 

天铂华庭

【浏览器-1】1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

在书签记录中，可以看到文件都存贮在Bookmarks.db这个数据库中

Bookmarks.db

【浏览器-2】2、手机机主计划去哪里旅游。（标准格式：苏州）

西藏 

【即时通讯-1】1、手机机主查询过那个人的身份信息。（标准格式：龙信） 

能够看到机主在小西米上查找过这个人

我们可以看到小西米的数据库里，第一个数据库最大，所以大概率信息在这里面，我们将数据库导出并打开

在message表中能够看到消息内容，往下滑便能找到对应的消息记录

龙黑

【即时通讯-2】2、请问机主共转多少费用用于数据查询。（标准格式：1000）

在同样的位置，可以看到转了1100元

1100 

 

【即时通讯-3】3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

在短信里可以看到查询的人姓名，电话，身份证号

身份证号码的这一位数字，如果为奇数则表示持有人为男性，如果为偶数则表示持有人为女性

根据身份证号可以得出一共有四位男性

4

APK分析

【APK分析-1】1、APP包名是多少。（标准格式：com.xxx.xxx）

在雷电app取证中可以看到包名

com.example.readeveryday

【APK分析-2】2、apk的主函数名是多少。（标准格式：comlongxin）

StartShow 

【APK分析-3】3、apk的签名算法是什么。（标准格式：xxx）

SHA1withRSA 

【APK分析-4】4、apk的应用版本是多少。（标准格式：1.2）

 

1.0

【APK分析-5】5、请判断该apk是否需要联网。

A.是

B.否

A.是

【APK分析-6】6、APK回传地址？（标准格式：127.0.0.1:12345）

10.0.102.135:8888

【APK分析-7】7、APK回传数据文件名称是什么。（标准格式：1.txt）

在源代码MainActivity里，ctrl+f搜checkAndUpload函数，能够看到回传文件名，还同时能看到上一题回传地址

 

Readdata.zip

【APK分析-8】8、APK回传数据加密密码是多少。（标准格式：admin）

在同一文件下，搜password即可

19_08.05r 

【APK分析-9】9、APK发送回后台服务器的数据包含以下哪些内容？（多选）

A.手机通讯录

B.手机短信

C.相册

D.GPS定位信息

E.手机应用列表

在动态权限就直接能够看到有抓到了短信，电话和app，但是不一定准，所以还是得去源码看

 getSmsInPhone是获取短信

 getContactInfo是获取联系人

getAllApp是获取app

所以答案是ABE

ABE

计算机取证 

【基本信息-1】1、计算机系统的安装日期是什么时候。（标准格式：20240120）

20240112

【系统痕迹-1】2、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

data.zip

 【数据库分析-1】1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

在手机里可以看到电脑bitlocker的密码

桌面文件解压需要密码

在邮件里可以看到桌面文件密码是个手机号为555的

直接掩码爆破一下

解压出来一个date文件以后

需要读取内容，这时候需要开一个数据库，我用的是小皮

找到数据库的date文件一键替换date（这个时候数据库服务一定要是关着的，才能替换成功），

然后打开my.ini

在mysqld底下添加skip-grant-tables，绕过权限

就能链接进来了

2021-03-17 15:49:52

 【数据库分析-2】2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

可以看到有五个数据库

5

【数据库分析-3】3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

这里有两种办法，第一个是数据库查询

SELECT SUM(salary) AS total_salary
FROM `salaries_list`
WHERE emp_no = '204200';

能够得到结论

还有第二种是，对于数据库语句不是很熟练的，可以直接筛选204200编号员工，手动相加，也可以得到答案

488313 

【数据库分析-4】4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

先查看finance部门对应的编号为d002,

 这个地方就不建议手数了，因为数量挺大的，可以试用sql语句

SELECT COUNT(*)
FROM `hiredate`
where dept_no = 'd002' and from_date >= '1999-01-01';

1486

【邮箱服务器-1】1、请问邮箱服务器的登录密码是多少。（标准格式：admin）

900110 

【邮箱服务器-2】2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

3 

【邮箱服务器-3】3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

3 

 【邮箱服务器-4】4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

jpg隐写，010修改高度就可以

中国路999号