第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛

第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛

基本情况

基本案情

受害人报案，其被嫌疑人王某多次通过微信进行诈骗，对受害人手机进行快采后，公安机关根据已有线索，发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。

检材

（1）检材1为“检材1.rar”的压缩包，文件大小为26,733,550,222 字节，MD5校验值为663595771FA127895307413979758C15，是从嫌疑人电脑提取的镜像文件。

（2）检材2为为“检材2.rar”的压缩包，文件大小为889,434,254 字节，MD5校验值为4BDFE927A945D90ABACA670BE547E594，是从嫌疑人iphone手机提取的备份文件夹。

（3）检材3为“检材3.rar”的压缩包，文件大小为2,376,793,278 字节，MD5校验值为00E8D29E9A610F79644A54FF9A55BDA5，是从嫌疑人电脑提取的内存镜像文件。

（4）检材4为“ 检材4.rar”的镜像，文件大小为5,589,216,702 字节，MD5校验值为C747C3699A3CFE08B3C2E8BF9FA64B07，是从嫌疑人红米手机提取的备份文件夹。

鉴定过程

检材一硬盘的MD5值为多少？（1分）

80518BC0DBF3315F806E9EDF7EE13C12

检材一bitlocker的恢复密钥是多少？（5分）

推荐使用EFDD2.2，问就是又快又好

十秒钟就差不多了，跑完应该是这样的

585805-292292-462539-352495-691284-509212-527219-095942

检材一镜像中用户最近一次打开的文件名是什么？（1分）

列表.xlsx

检材一硬盘系统分区的起始位置？（2分）

649216*512=332398592

检材一系统的版本号是多少（格式：x.x.x.x）（1分）

120.2212.31.0

检材一回收站中的文件被删除前的路径（2分）

C:/Users/rd/Desktop/iTunes(12.13.0.9).exe

检材一给出最后一次修改系统时间前的时间（格式：YYYY-MM-DD HH:MM:SS）（3分）

2023-12-12 16:37:12

检材一最后一次远程连接本机的时间（格式：YYYY-MM-DD HH:MM:SS）（2分）

2023-12-11 15:57:02

检材一Chrome浏览器最后一次搜索过的关键词是什么（2分）

常见的诈骗话术2023

检材一是否连接过U盘，如有，请给出U盘的SN码（2分）

SN码就是序列号

FC2005927F271

检材一Edge浏览器最早一次下载过的文件文件名是（2分）

火眼和取证大师不大一样

winrar-x64-624scp.exe

嫌疑人访问的微博的密码的MD5值（3分）

from hashlib import md5
print(md5('!dfrDj*&j98_jUe8'.encode()).hexdigest())

5cb42860b3b61ef6dd361ad556f48e05

检材二备份的设备名称是什么？（1分）

“User”的 iPhone

检材二手机的IOS系统版本是多少（1分）

17.0

检材二备份的时间是多少？（格式：YYYY-MM-DD HH:MM:SS）（1分）

2023-12-09 15:02:28

嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。（格式：YYYY-MM-DD HH:MM:SS）（2分）

2023-12-04 13:18:50

检材二使用过的号码ICCID是多少。（2分）

89860000191997734908

检材二手机中高德地图最后搜索的地址。（2分）

万达广场(南沙店)

检材二手机最后一次登陆/注册“HotsCoin”的时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

2023-12-04 13:28:14

检材二手机中照片“IMG_0002”的拍摄时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

2023-12-06 11:08:30

检材二中“小西米语音”app的Bundle ID是什么？ （2分）

其实就是包名

com.titashow.tangliao

检材二中浏览器最后一次搜索的关键词是什么？（2分）

小西米语音app下载

嫌疑人和洗钱人员约定电子钱包的品牌是什么，如有多个用顿号分隔。（3分）

在备份ios的小西米里面

ETH、BTC

嫌疑人和洗钱人员约定电子钱包的金额比例是什么。（3分）

0.2

检材三中进程“FTK Imager.exe”的PID是多少？（2分）

好像这里好多人镜像解析不出来，那就是CTF做少了/doge

MemProcFS一把梭

D:\Forensics\MemProcFS>MemProcFS.exe -device "D:\VM\machine\share\memdump2023.raw" -forensic 1
Initialized 64-bit Windows 10.0.19041

==============================  MemProcFS  ==============================
 - Author:           Ulf Frisk - pcileech@frizk.net
 - Info:             https://github.com/ufrisk/MemProcFS
 - Discord:          https://discord.gg/BCmfBhDPXX
 - License:          GNU Affero General Public License v3.0
   ---------------------------------------------------------------------
   MemProcFS is free open source software. If you find it useful please
   become a sponsor at: https://github.com/sponsors/ufrisk Thank You :)
   ---------------------------------------------------------------------
 - Version:          5.8.19 (Windows)
 - Mount Point:      M:\
 - Tag:              19041_bab51ae1
 - Operating System: Windows 10.0.19041 (X64)
==========================================================================

11328

检材三中显示的系统时间是多少？（格式：YYYY-MM-DD HH:MM:SS）（2分）

因为是UTC所以+8

2023-12-12 12:06:25 UTC

检材三中记录的当前系统ip是多少？（2分）

172.18.7.229

检材四中迅雷下载过的文件名是什么？（1分）

《向银河靠近》.txt

检材四中安装了哪些可是实现翻墙（VPN）功能的app？（1分）

检材四备份的设备系统版本是多少？（1分）

V14.0.2.0.TKSCNXM

检材四备份的时间是多少（答案以13位时间戳表示）（1分）

1702459232429

检材四中FileCompress app 包名是什么？（1分）

com.zs.filecompress

检材四中备忘录记录的内容是什么？（1分）

Vcpswd:edgewallet

请列出检材四中所有虚拟币钱包app的包名，如有多个用顿号分隔。（3分）

检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么？（3分）

3KnPxPvpZ43pSc6sUT4Zqsc7pK1Xz5NtMH

MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置（2分）

20231213_172032.tar/20231213_172032/FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt

检材中受害人的微信号是多少？（2分）

B-I-N-A-R-Y

嫌疑人曾通过微信购买过一个公民信息数据库，该数据库中手机尾号是8686的用户的姓名是（3分）

在Windows里面找到了目标数据库

SELECT name
FROM users
WHERE phone LIKE '%8686';

章敏

嫌疑人手机中是否保存了小西米语音app的账号密码，如有，请写出其密码（5分）

jamvU1@wiwgug$bo

公民信息数据库中，截止到2023年12月31日，年龄大于等于18且小于等于30岁之间的用户信息数量（5分）

SELECT COUNT(1)
FROM users
WHERE SUBSTRING(IDCARD, 7, 8) BETWEEN '19931216' AND '20051216';

1578

受害人小浩的手机号码是多少（5分）

反编译FileCompress

 try {
                    File file2 = new File(str, MainActivity.this.fileName + ".txt");
                    Log.d("TAG", "文件路径： " + str);
                    FileWriter fileWriter = new FileWriter(file2);
                    fileWriter.append((CharSequence) obj);
                    fileWriter.flush();
                    fileWriter.close();
                    Toast.makeText(MainActivity.this, "写入成功", 0).show();
                    MainActivity.this.doZipSingleFileWithPassword(file2, "1!8Da9Re5it2b3a.");
                } catch (IOException e) {
                    e.printStackTrace();
                    Log.d("TAG", "写入失败： " + e.getMessage());
                    Toast.makeText(MainActivity.this, "写入失败", 0).show();
                }

压缩包密码：1!8Da9Re5it2b3a.

解压打开

11月电诈名单
小浩 13533333333
王明 13522222222

13533333333

完整的受害人名单是几个人。（6分）

套娃题

先是vc容器

vc容器的密码是edgewallet

挂上去以后是这样的

9月诈骗名单
周强 17711111111
刘红 17722222222

10月诈骗名单
小李 13611111111
王丽 13622222222

6

受害人转账的总金额是多少（5分）

600

总结

团队赛第四，做到最后手冷到打不了字QAQ，警大的同学好热情~

Galaxy#b3nguang 写于2023/12/20