出的相当严谨,答案尽可能的把所有信息全写上了
参考中科实数杯 2023 题解 - XDforensics-Wiki (xidian.edu.cn)、第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛Writeup
案情
受害人报案, 其被嫌疑人王某多次通过微信进行诈骗, 对受害人手机进行快采后, 公安机关根据已有线索, 发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗. 公安机关现已将嫌疑人 iPhone 手机、红米手机、电脑进行备份、镜像.
检材信息
检材解压密码:
希望大家都能取得好成绩
- 检材 1: 嫌疑人的计算机磁盘镜像
- 检材 2: 嫌疑人的 iPhone 备份数据
- 检材 3: 嫌疑人的计算机内存镜像
- 检材 4: 嫌疑人的红米手机备份数据
检材一 (计算机磁盘镜像)
1.检材一硬盘的 MD5 值为多少?(1分)
80518BC0DBF3315F806E9EDF7EE13C12
2.检材一 BitLocker 的恢复密钥是多少?(5分)
585805-292292-462539-352495-691284-509212-527219-095942
有计算机镜像,取证大师没检测出什么,检材3是内存镜像,利用efdd跑一下
efdd能解开,不显示恢复密钥,没搞懂什么情况,只能用passwarekitforensic跑了,跑巨慢
版本太低惹的祸,在d3f4u1t师傅的帮助下换了个新版本,跑出来了585805-292292-462539-352495-691284-509212-527219-095942
3.检材一镜像中用户最近一次打开的文件名是什么?(1分)
列表.xlsx
取证大师的排序出bug了
4.检材一硬盘系统分区的起始位置?(2分)
332398592
5.检材一系统的版本号是多少(格式:x.x.x.x)(1分)
10.0.19042.508
参考官方wp,答案好全
6.检材一回收站中的文件被删除前的路径(2分)
C:/Users/rd/Desktop/iTunes(12.13.0.9).exe
7.检材一给出最后一次修改系统时间前的时间(格式: YYYY-MM-DD HH:MM:SS)(3分)
2023-12-12 16:37:12
8.检材一最后一次远程连接本机的时间(格式: YYYY-MM-DD HH:MM:SS)(2分)
2023-12-11 15:57:02
9.检材一 Chrome 浏览器最后一次搜索过的关键词是什么(2分)
常见的诈骗话术2023
10.检材一是否连接过 U 盘,如有,请给出 U 盘的 SN 码(2分)
FC2005927F271
有设备序列号的几个一个个看下,aigo U350 USB Device是爱国者U盘,RDMSF 1000 SCSI Disk Device是移动硬盘,Card Reader是读卡器
11.检材一 Edge 浏览器最早一次下载过的文件文件名是(2分)
winrar-x64-624scp.exe
12.嫌疑人访问的微博的密码的 MD5 值(3分)
5cb42860b3b61ef6dd361ad556f48e05
检材二 (iPhone 备份数据)
13.检材二备份的设备名称是什么?(1分)
“User”的 iPhone
14.检材二手机的 iOS 系统版本是多少(1分)
17.0
15.检材二备份的时间是多少?(格式: YYYY-MM-DD HH:MM:SS)(1分)
2023-12-09 15:02:28
16.嫌疑人 iPhone 手机给号码"13502409024"最后一次打电话的时间是.(格式: YYYY-MM-DD HH:MM:SS)(2分)
2023-12-04 13:18:50
给的检材里面没有通话记录,电脑里有个手机备份,设置了备份密码,查看下Manifest.plist(2021年美亚杯个人赛第30题考过这个文件),确实加密了
加密的备份iPhone解密
关键文件Manifest.plist
1.Passware Kit Forensic
参考中科实数杯 2023 题解 - XDforensics-Wiki (xidian.edu.cn)
5位数字爆破
2.HashCat 爆破密码
参考破解 iTunes 备份密码 | CTF导航 (ctfiot.com)
利用网站
https://www.onlinehashcrack.com/tools-itunes-backup-hash-extractor.php
或用itunes_backup2hashcat先算出hash值 GitHub - philsmd/itunes_backup2hashcat:从 Manifest.plist 文件中提取所需的信息,将其转换为与 hashcat 兼容的哈希值
5位数字掩码攻击用-a 3,iOS 版本 >10.2用 -m 14800
hashcat -m 14800 -a 3 $itunes_backup$*10*e72a7510f38b1ac84d90a7957f4fdf7b641ada32e8d7479cf0e63a682715aa2055b0f66f0735f871*10000*23d7d7a6d4c8e0fcb02fd3cbda1f05cc90f6398d*10000000*6ef09887d48b725f7b3305989e8c60114bb9660d ?d?d?d?d?d
备份密码是25922,果然备份里有通话记录
17.检材二使用过的号码 ICCID 是多少.(2分)
89860000191997734908
18.检材二手机中高德地图最后搜索的地址.(2分)
万达广场(南沙店)双山大道3号
19.检材二手机最后一次登陆/注册"HotsCoin"的日期是(格式: YYYY-MM-DD)(2分)
2023-12-04
HotsCoin是数字交易app,题目后来改了
20.检材二手机中照片"IMG_0002"的拍摄时间是(格式: YYYY-MM-DD HH:MM:SS)(2分)
2023-12-06 11:08:30
21.检材二中"小西米语音" app 的Bundle ID是什么? (2分)
com.titashow.tangliao
Bundle ID是包名,安卓叫packageName,ios叫bundle id
22.检材二中浏览器最后一次搜索的关键词是什么?(2分)
ios备份密码忘了怎么办 五位纯数字
龙信能跑出来,弘连跑不出来,这个内容提示备份密码是5位纯数字
23.嫌疑人和洗钱人员约定电子钱包的品牌是什么, 如有多个用顿号分隔. (3分)
imToken、Bitcoin
前面有提到小西米语音com.titashow.tangliao,找到他的聊天记录数据库im5db,加后缀用navicat打开
24.嫌疑人和洗钱人员约定电子钱包的金额比例是什么.(3分)
0.2
见上题图
检材三 (计算机内存镜像)
25.检材三中进程"FTK Imager.exe"的 PID 是多少?(2分)
11328
26.检材三中显示的系统时间是多少?(格式: YYYY-MM-DD HH:MM:SS)(2分)
2023-12-12 04:06:25
27.检材三中记录的当前系统ip是多少?(2分)
172.18.7.229
检材四 (红米手机备份数据)
28.检材四中迅雷下载过的文件名是什么?(1分)
《向银河靠近》.txt
29.检材四中安装了哪些可是实现翻墙(VPN)功能的 app?(1分)
Clash
一眼Clash
30.检材四备份的设备系统版本是多少?(1分)
V14.0.2.0.TKSCNXM
查看小米备份文件descript.xml
31.检材四备份的时间是多少(答案以 13 位时间戳表示)(1分)
1702459232429
32.检材四中 FileCompress app 包名是什么?(1分)
com.zs.filecompress
是一个压缩软件
33.检材四中备忘录记录的内容是什么?(1分)
Vcpswd:edgewallet
备忘录内容Vcpswd:edgewallet指向vc密码,密码是pR7)nZ5&yQ2-oR0<
检材一中有vc,在最近访问的项目中寻找容器,按大小来说,新建文本文档最可能是
解出两个txt,9月是诈骗名单,10月是加密的zip
34.请列出检材四中所有虚拟币钱包 app 的包名, 如有多个用顿号分隔.(3分)
de.schildbach.wallet、com.bitcoin.mwallet、piuk.blockchain.android、im.token.app、com.paxful.wallet
官方wp说火币是交易平台,不算虚拟币钱包app
35.检材四中嫌疑人使用 Bitcoin Wallet 钱包地址是什么?(3分)
bc1q4ru3a8r0vzymwwcmawvtdyf6hkvt2x9477hjkt
参考官方wp,在检材4/Bitcoin Wallet(de.schildbach.wallet).bak/apps/de.schildbach.wallet/f/log/wallet.log里,官方给的搜索enlarged关键字,不太懂为啥搜这个,感觉直接搜walletaddress也能很快搜到
36.MD5 值为"FF3DABD0A610230C2486BFFBE15E5DFF"的文件在检材四中的位置(2分)
FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt
查看文件,挑比较奇怪的看一眼
第一个就是,同时印证34题莫名其妙提到FileCompress app,11月.txt是个加密的压缩包
综合题目
37.检材中受害人的微信号是多少?(2分)
B-I-N-A-R-Y
38.嫌疑人曾通过微信购买过一个公民信息数据库, 该数据库中手机尾号是 8686 的用户的姓名是(3分)
章敏
公民数据库在电脑微信里,导出数据库,用navicat连接
substring函数截取手机号后四位
39.嫌疑人手机中是否保存了小西米语音 app 的账号密码, 如有, 请写出其密码(5分)
jamvU1@wiwgug$bo
40.公民信息数据库中, 截止到 2023 年 12 月 31 日, 年龄大于等于 18 且小于等于 30 岁之间的用户信息数量(5分)
1717
substring函数截取出生日期,导出数据,进行下一步筛选
截止到 2023 年 12 月 31 日年龄大于等于 18 且小于等于 30 岁,就是说出生日期在2006年1月1日前,在1993年1月1日后
41.受害人小浩的手机号码是多少(5分)
13533333333
公民信息数据库中没有
之前9月.txt有提到受害人名单,10月和11月应该也是诈骗名单,要解密,11月位于FileCompress下面,FileCompress是个解压工具,加密是用FileCompress加密的,参考官方wp,找到安装包
在主函数中找到了密码
1!8Da9Re5it2b3a.
成功解密
42.完整的受害人名单是几个人(6分)
6
43.受害人转账的总金额是多少(5分)
600
备份的手机里有200(2023-11-24 17:19:53)+200(2023-11-28 14:14:40)
检材2有200(2023-12-07 13:41:56)