文章详细描述了如何通过APK分析工具如雷电app、魔剑二号和JEB对Android应用程序进行深入分析,包括包名、主函数名、签名算法等信息,以及在计算机取证中利用取证大师、Fireeye等工具进行系统痕迹、数据库分析和邮箱服务器信息获取。涉及手机备份包的内容包括备份时间、下载的即时通讯应用、个人信息等。
检材链接:https://pan.baidu.com/s/1PswS5T-52c9xn3wBXhvIsQ?pwd=ab6o
解压密码:都考100分
APK分析
工具:雷电app、魔剑二号、JEB
1、APP包名是多少。(标准格式:com.xxx.xxx)
答案:com.example.readeveryday
解析:
雷电app:
魔剑二号:
2、apk的主函数名是多少。(标准格式:comlongxin)
答案:StartShow
解析:
3、apk的签名算法是什么。(标准格式:xxx)
答案:SHA1withRSA
解析:
雷电APP的不是标准格式
4、apk的应用版本是多少。(标准格式:1.2)
答案:1.0
解析:
5、请判断该apk是否需要联网。
答案:是
解析:
6、APK回传地址?(标准格式:127.0.0.1:12345)
答案:10.0.102.135:8888
解析:
7、APK回传数据文件名称是什么。(标准格式:1.txt)
答案:Readdata.zip
解析:在checkAndUpload函数中
JEB:
8、APK回传数据加密密码是多少。(标准格式:admin)
答案:19_08.05r
解析:尝试搜索,看到这个,试一下成功了(EncryFile函数中)
9、APK发送回后台服务器的数据包含以下哪些内容?(多选)
A.手机通讯录 B.手机短信 C.相册 D.GPS定位信息 E.手机应用列表
答案:ABE
解析:contact开头是通讯录相关、app开头是应用相关、sms开头是短信相关
计算机取证
工具:取证大师、火眼证据分析、passwarekit、navicat、winhex
基本信息:1 系统痕迹:2 数据库分析:3-6 邮箱服务器:7-10
1、计算机系统的安装日期是什么时候。(标准格式:20240120)
*答案:*20240112
解析:
2、请问机主最近一次访问压缩包文件得到文件名称是什么。(标准格式:1.zip)
答案:data.zip
解析:
3、还原数据库,请分析root用户最后一次更改密码的时间是什么时候。(标准格式:2024-01-20.12:12:12)
答案:2021-03-17 15:49:52
解析:
在手机备份的备忘录中找到BitLocker密码:Lonxin@123,解开磁盘D
可以在Foxmail邮件中找到data.zip的密码
使用passwarekit掩码爆破得到压缩包密码:15566666555
输入密码15566666555得到data文件
① 将data文件连接到navicat,还原数据库
(参考教程:记一次MySQL数据库的还原与重建记一次MySQL数据库的还原与重建 (qq.com))
查看data文件的日志,找到数据库版本为5.7.25
用压缩包解压出来的data文件替换掉小皮面板MySQL的data文件(同时要确保小皮面板MySQL的版本和data文件的MySQL版本一样)
然后修改my.ini配置文件,加入一句skip-grant-tables来实现免密登录绕过(这一步一定要在替换data文件之后)
在navicat中新建mysql连接,端口要和小皮面板的MySQL的端口一致,连接名随意,确认后连接成功
在mysql库的user表中找到root用户最后一次更改密码的时间
② 通过火眼的工具箱的数据库取证工具打开data文件
可以在数据库MySQL的user表中找到root用户最后一次更改密码的时间是2021-03-17 15:49:52
4、请问mysql数据库中共存在多少个数据库。(标准格式:阿拉伯数字)
答案:5
解析:在navicat中找到五个数据库
在火眼的数据库取证工具中只找到4个数据库
5、员工编号为204200的员工总工资为多少元。(标准格式:阿拉伯数字)
答案:488313
解析:
① 找到薪资表salaries_list,在emp_no右键筛选204200,计算总和
② 在薪资表salaries_list中找到编号为204200的员工,从553-562都是其工资,总和为488313
③ 也可以将表导出后查看,204200在第一个表中
6、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。(标准格式:阿拉伯数字)
答案:1486
解析:
① 在团队列表team_list中找到Finance部门对应d002,并筛选,得到1486
或者用sql语句查询
② 在团队列表team_list中找到Finance部门对应d002
由于计算复杂(主要是忘记sql语句怎么写),将雇员表hiredate导出,筛选出1488个数据,列名占一行,另外有两条10354一模一样,删去后为1486条
7、请问邮箱服务器的登录密码是多少。(标准格式:admin)
答案:900110
解析:找到两个密码,尝试后密码是900110
另外仿真后磁盘D经过BitLocker解密后找到邮箱服务器
,找到配置文
,找到密码解密后,得到900110
在下图中输入900110成功登录
登录后得到
8、邮件服务器中共有多少个账号。(标准格式:阿拉伯数字)
答案:3
解析:仿真后在邮件服务器找到以下三个账号,文件夹里是邮件,而Foxmail中只有两个账号
或者接上题的最后可以找到,邮箱服务器的三个域(Domain)中只有longxin.com中有三个账号
9、邮件服务器中共有多少个域名。(标准格式:阿拉伯数字)
答案:3
解析:如上题,或者如下图,发件人和收件人共有三个,所以是3个域名
10、请问约定见面的地点在哪里。(标准格式:太阳路668号)
答案:中国路999号
解析:约定见面的地点的邮件里有一个附件,待见面.jpg,导出
查看图片属性,宽和高均为十进制940,十六进制为03AC。
考虑数据隐写的可能性,可使用winhex分析。查找十六进制数值03AC,第一个03AC是高度。
改变图片的高度,双击3,修改选块数据,此操作是只修改了十进制3为4,即将十六进制03AC改为04AC,其十进制为1196。
确定后保存,得到约定见面的地点为 中国路999号
手机备份包
工具:火眼证据分析、navicat
手机基本信息:1-4 地图数据:5 浏览器:6、7 即时通讯:8、9、10
1、IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)
答案:2024-01-15.14:19:44
解析:
2、请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)
答案:3
解析: QQ、陌陌、小西米
3、手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字)
答案:89860320245121150689
解析:
4、手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)
答案:20240115
解析:
5、请问嫌疑人家庭住址在哪个小区。(标准格式:松泽家园)
答案:天铂华庭
解析:
6、Safari浏览器书签的对应数据库名称是什么。(标准格式:sqltie.db)
答案:Bookmarks.db
解析:随便找一个书签跳转到源文件
7、手机机主计划去哪里旅游。(标准格式:苏州)
答案:拉萨
解析:
8、手机机主查询过那个人的身份信息。(标准格式:龙信)
答案:龙黑
解析:
Im5db文件中
通过navicat打开
9、请问机主共转多少费用用于数据查询。(标准格式:1000)
答案:1100
解析:如上题
10、机主查询的信息中共有多少男性。(标准格式:阿拉伯数字)
答案:3
解析:第17位为奇数的为男性,最后两人的身份证不完整,王也的出生月份为14,应该舍去。所以3位男性分别是张三、李四、江三。
3339
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
