2023蓝帽杯半决取证

案情

2023年初,某地公安机关抓获一个网络诈骗技术嫌疑人,公安机关在扣押嫌疑人后,对嫌疑人手机进行数据提取,在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除,根据嫌疑人交代,其在删除通话及短信记录前使用过同伙编写的测试软件,该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要,请参赛队员分析手机镜像及对应apk,完成取证题目。

案情是做取证很关键的,这次是后面才注意到的,开始比赛没有仔细看

检材链接:https://pan.baidu.com/s/1RsF5qluBJhOf7o6HZwR54Q?pwd=ivsz容器密码:2023@QAX#LMB*PGS-9.16

 1、检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)

09-11 17:21 

 我们在log.log里面找到的,这里我们需要注意一下,不要填成最开始的那个了,也要注意一下格式

 

 2、嫌疑人手机SD卡存储空间一共多少GB?(答案格式:22.5)

24.32

 也是在这个文件中找到的

 3、嫌疑人手机设备名称是?(答案格式:adfer)

sailfish

也是在这个文件中

 

 4、嫌疑人手机IMEI是?(答案格式:3843487568726387)

352531082716257

 在盘古石中找到的,这里也证明我们前面的是正确的,这里要把后面那个符号去掉

 5、嫌疑人手机通讯录数据存放在哪个数据库文件中?(答案格式:call.db)

contacts.db

 找到通讯录就可以了

 6、嫌疑人手机一共使用过多少个应用?(答案格式:22)

206

 这里在做题的时候,刚开始不知道要填哪一个,后面是在应用列表中发现多的那个是删除过的,所以后面也要加上,但是仔细看了应用列表里面的,有重复的应用名,最后填的时候还是考虑删除重复的,但是错了,也不知道为什么

7、测试apk的包名是?(答案格式:con.tencent.com)

com.example.myapplication

 先略过com.android和com.google开头的,找到My Application,找到apk,在雷电里面就可以看到了

 

 8、测试apk的签名算法是?(答案格式:AES250)

SHA256withRSA

我们是在jadx里面找到的,刚开始的时候我们是在详细信息里面看到的,但是

SHA256-RSA,最后填了带with的,这里不知道为什么第二个不对了

 

 

 9、测试apk的主入口是?(答案式:com.tmp.mainactivity)

com.example.myapplication.Mainactivity

 我们在雷电的详细信息里面找到的,但是我们要注意的是后面的mainactivity的首字母要大写

 10、测试apk一共申请了几个权限?(答案格式:7)

3

 这一次是在静态权限里面找到的

11、测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)

BASE64

 我们是在jadx里面找到的,这里我们需要搜索一下就可以找到这个文件了,就可以看到是base64加密了,但是做题的时候我认为它只是一种编码方式,然后就填了另外一个。比赛之后调整了规则,大小写都可以了。

 12、10086对嫌疑人拨打过几次电话?(答案格式:5)

前面我们知道了文件的路径,然后就去找到它,然后就可以导出,又知道它是base64编码,就可以解码了。这几道题都是相互联系的。

2

 

 

 13、测试apk对短信记录进行了几次加密?(答案格式:5)

2

 找到这个文件的路径,然后顺着找到就会发现是AES+base64加密了

 

 

 14、测试apk对短信记录进行加密的秘钥是?(答案式:slkdjlfslskdnln)

bglqdwjkewhmdxjp

 看到这里我们是想直接去找出来的,但是后面觉得这个思路是不对的,需要换一个思路

我们需要找到myapplication,将其修改为zip后缀,在里面就可以找到libmyapplication.so文件,用IDA打开它在字符串中找到Getkey,双击进去之后,搜索first,将其进行base64编码,取前面的16位

AES在线加密解密工具 - MKLab在线工具

 15、嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)

9250

 将前面的16位拿去解密SMS.txt文件

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值