检材链接:https://pan.baidu.com/s/1RsF5qluBJhOf7o6HZwR54Q?pwd=ivsz容器密码:2023@QAX#LMB*PGS-9.16
01、案情
2023年初,某地公安机关抓获一个网络诈骗技术嫌疑人,公安机关在扣押嫌疑人后,对嫌疑人手机进行数据提取,在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除,根据嫌疑人交代,其在删除通话及短信记录前使用过同伙编写的测试软件,该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要,请参赛队员分析手机镜像及对应apk,完成取证题目。
02、赛题
1、检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)
09-11 17:21
在检材解压后的logs.log中看
2、嫌疑人手机SD卡存储空间一共多少GB?(答案格式:22.5)
24.32
同样在logs.log
3、嫌疑人手机设备名称是?(答案格式:adfer)
sailfish
4、嫌疑人手机IMEI是?(答案格式:3843487568726387)
352531082716257
5、嫌疑人手机通讯录数据存放在哪个数据库文件中?(答案格式:call.db)
contacts.db
6、嫌疑人手机一共使用过多少个应用?(答案格式:22)
206
这道题是一道争议题,对于题目的描述限定的不够准确,很多师傅都找成了user用过的应用,但赛方给出了206的答案,以答案我们找到了应用列表:
7、测试apk的包名是?(答案格式:con.tencent.com)
com.example.myapplication
这道题是用火眼的雷电分析出的APK,发现这个APP的授权最符合题目所描述即有短信授权也有通话记录授权。
8、测试apk的签名算法是?(答案格式:AES250)
SHA256withRSA
弘连雷电APP智能分析出是SHA256-RSA但最后答案给的是SHA256WithRSA
9、测试apk的主入口是?(答案格式:com.tmp.mainactivity)
com.example.myapplication.mainactivity
也是用雷电APP便可以得出
10、测试apk一共申请了几个权限?(答案格式:7)
3
这里也是用雷电进行分析得到软件授权为三个
11、测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)
BASE64
用jdax打开,搜索Calllog.txt,得到密码加密形式。
12、10086对嫌疑人拨打过几次电话?(答案格式:5)
2
找到calllog.txt
由前文为base64解密将之导入到base64j解密器中解压得到通话记录,发现为两次10086
13、测试apk对短信记录进行了几次加密?(答案格式:5)
2
有两次一次为ASE一次为BASE64。
14、测试apk对短信记录进行加密的秘钥是?(答案格式:slkdjlfslskdnln)
bGlqdWJkeWhmdXJp
这道题是二进制的解码题目,对这类题目没有做太多的了解,只提供一个思路:
JADX打开SMS.txt.
找到以上类似一个静态的值,apk解包后ida64分析lib中的so文件
在字符串中找到Getkey
G分析代码可以看到对first进行了转换
找到first:lijubdyhfurindhcbxdw
由上文得知经过了ASE和BASE64加密,而ASE加密需要密钥,这里大胆猜测将其加密为BASE64作为ASE解密的密钥(ASE密钥是16位要将加密后的:bGlqdWJkeWhmdXJpbmRoY2J4ZHc=截取16位)。
15、嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)
9250
这里14题做出来后15题自然就出来了。