一、取证部分
1、检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)
答案:09-11 17:21
2、嫌疑人手机SD卡存储空间一共多少GB?(答案格式:22.5)
同样在log文件
答案:24.32
3、嫌疑人手机设备名称是?(答案格式:adfer)
答案:sailfish
4、嫌疑人手机IMEI是?(答案格式:3843487568726387)
盘古石手机取证
答案:352531082716257
5、嫌疑人手机通讯录数据存放在哪个数据库文件中?(答案格式:call.db)
答案:contacts.db
6、嫌疑人手机一共使用过多少个应用?(答案格式:22)
应该是206个,题目写的也不清晰
答案:206
7、测试apk的包名是?(答案格式:con.tencent.com)
一看就是测试包
答案:com.example.myapplication
8、测试apk的签名算法是?(答案格式:AES250)
雷电app分析
jadx反编译
答案格式也不严谨,反正应该是两者之一
答案:SHA256withRSA
9、测试apk的主入口是?(答案格式:com.tmp.mainactivity)
答案:com.example.myapplication.MainActivity
10、测试apk一共申请了几个权限?(答案格式:7)
答案:3
11、测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)
火眼取证打开zip包
镜像内找到calllog.txt
导出至电脑打开文件
最后两个双等号,很明显是base64。解开试试
确定为base64加密
(结果还要大小写区分)
答案:BASE64
12、10086对嫌疑人拨打过几次电话?(答案格式:5)
刚刚解开的calllog文件
答案:2
13、测试apk对短信记录进行了几次加密?(答案格式:5)
jadx打开主函数MainActivity
一个AES加密,一个Base64加密
答案:2
14、测试apk对短信记录进行加密的秘钥是?(答案格式:slkdjlfslskdnln)
jadx反编译apk后使用idea文件包中的libmyapplication.so
字符串搜索key关键字
跳转到反编译,发现这里对first变量进行了处理
双击查看first,得到原始字符串
这个应该就是我们要找的key,但是在AES加密后还进行了base64编码,因此我们也需要将key进行base编码
得到bGlqdWJkeWhmdXJpbmRoY2J4ZHc=
由于AES密钥最长为16位,因此我们只用前16位就能解开加密。
尝试解密
(这里的aes配置基本都用的默认配置,其实也没搞懂aes加密的机制)
解密成功,密钥正确
答案:bGlqdWJkeWhmdXJp
15、嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)
查看解密后的短信记录就能得到答案
答案:9250
二、CTF题目
1.misc
排排坐吃果果
(比赛的时候想的是全部重新排序后重新变成应该39x39的方阵,结果是每一列重新排序。。)
打开文件,全部框选后发现有数据,把所有字体修改为黑色
加入一行空白格后将每一列重新按降序排序
将格子长宽比改为方形
查找与替换,将所有粗体字替换为黑色背景
得到二维码,扫描得到flag
此题结束