2023中科实数杯wp

出的相当严谨，答案尽可能的把所有信息全写上了

参考中科实数杯 2023 题解 - XDforensics-Wiki (xidian.edu.cn)、第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛Writeup

案情

受害人报案, 其被嫌疑人王某多次通过微信进行诈骗, 对受害人手机进行快采后, 公安机关根据已有线索, 发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗. 公安机关现已将嫌疑人 iPhone 手机、红米手机、电脑进行备份、镜像.

检材信息

检材解压密码: 希望大家都能取得好成绩

• 检材 1: 嫌疑人的计算机磁盘镜像
• 检材 2: 嫌疑人的 iPhone 备份数据
• 检材 3: 嫌疑人的计算机内存镜像
• 检材 4: 嫌疑人的红米手机备份数据

检材一 (计算机磁盘镜像)

1.检材一硬盘的 MD5 值为多少?(1分)

80518BC0DBF3315F806E9EDF7EE13C12 

2.检材一 BitLocker 的恢复密钥是多少?(5分)

585805-292292-462539-352495-691284-509212-527219-095942

有计算机镜像，取证大师没检测出什么，检材3是内存镜像，利用efdd跑一下

efdd能解开，不显示恢复密钥，没搞懂什么情况，只能用passwarekitforensic跑了，跑巨慢

版本太低惹的祸，在d3f4u1t师傅的帮助下换了个新版本，跑出来了585805-292292-462539-352495-691284-509212-527219-095942

3.检材一镜像中用户最近一次打开的文件名是什么?(1分)

列表.xlsx

取证大师的排序出bug了 

4.检材一硬盘系统分区的起始位置?(2分)

332398592

5.检材一系统的版本号是多少(格式:x.x.x.x)(1分)

10.0.19042.508

参考官方wp，答案好全

6.检材一回收站中的文件被删除前的路径(2分)

C:/Users/rd/Desktop/iTunes(12.13.0.9).exe

7.检材一给出最后一次修改系统时间前的时间(格式: YYYY-MM-DD HH:MM:SS)(3分)

2023-12-12 16:37:12

8.检材一最后一次远程连接本机的时间(格式: YYYY-MM-DD HH:MM:SS)(2分)

2023-12-11 15:57:02

9.检材一 Chrome 浏览器最后一次搜索过的关键词是什么(2分)

常见的诈骗话术2023

10.检材一是否连接过 U 盘,如有,请给出 U 盘的 SN 码(2分)

FC2005927F271

有设备序列号的几个一个个看下，aigo U350 USB Device是爱国者U盘，RDMSF 1000 SCSI Disk Device是移动硬盘，Card  Reader是读卡器

11.检材一 Edge 浏览器最早一次下载过的文件文件名是(2分)

winrar-x64-624scp.exe

12.嫌疑人访问的微博的密码的 MD5 值(3分)

5cb42860b3b61ef6dd361ad556f48e05

检材二 (iPhone 备份数据)

13.检材二备份的设备名称是什么?(1分)

“User”的 iPhone

14.检材二手机的 iOS 系统版本是多少(1分)

17.0

15.检材二备份的时间是多少?(格式: YYYY-MM-DD HH:MM:SS)(1分)

2023-12-09 15:02:28

16.嫌疑人 iPhone 手机给号码"13502409024"最后一次打电话的时间是.(格式: YYYY-MM-DD HH:MM:SS)(2分)

2023-12-04 13:18:50

给的检材里面没有通话记录，电脑里有个手机备份，设置了备份密码，查看下Manifest.plist（2021年美亚杯个人赛第30题考过这个文件），确实加密了

加密的备份iPhone解密

关键文件Manifest.plist

1.Passware Kit Forensic

参考中科实数杯 2023 题解 - XDforensics-Wiki (xidian.edu.cn)

 5位数字爆破

2.HashCat 爆破密码

参考破解 iTunes 备份密码 | CTF导航 (ctfiot.com)

利用网站

https://www.onlinehashcrack.com/tools-itunes-backup-hash-extractor.php

或用itunes_backup2hashcat先算出hash值 GitHub - philsmd/itunes_backup2hashcat：从 Manifest.plist 文件中提取所需的信息，将其转换为与 hashcat 兼容的哈希值

 5位数字掩码攻击用-a 3，iOS 版本 >10.2用 -m 14800

hashcat -m 14800 -a 3 $itunes_backup$*10*e72a7510f38b1ac84d90a7957f4fdf7b641ada32e8d7479cf0e63a682715aa2055b0f66f0735f871*10000*23d7d7a6d4c8e0fcb02fd3cbda1f05cc90f6398d*10000000*6ef09887d48b725f7b3305989e8c60114bb9660d ?d?d?d?d?d

备份密码是25922，果然备份里有通话记录

17.检材二使用过的号码 ICCID 是多少.(2分)

89860000191997734908

18.检材二手机中高德地图最后搜索的地址.(2分)

万达广场(南沙店)双山大道3号

19.检材二手机最后一次登陆/注册"HotsCoin"的日期是(格式: YYYY-MM-DD)(2分)

2023-12-04

HotsCoin是数字交易app，题目后来改了

20.检材二手机中照片"IMG_0002"的拍摄时间是(格式: YYYY-MM-DD HH:MM:SS)(2分)

2023-12-06 11:08:30

21.检材二中"小西米语音" app 的Bundle ID是什么? (2分)

com.titashow.tangliao

Bundle ID是包名，安卓叫packageName，ios叫bundle id

22.检材二中浏览器最后一次搜索的关键词是什么?(2分)

ios备份密码忘了怎么办 五位纯数字

龙信能跑出来，弘连跑不出来，这个内容提示备份密码是5位纯数字

23.嫌疑人和洗钱人员约定电子钱包的品牌是什么, 如有多个用顿号分隔. (3分)

imToken、Bitcoin

前面有提到小西米语音com.titashow.tangliao，找到他的聊天记录数据库im5db，加后缀用navicat打开

24.嫌疑人和洗钱人员约定电子钱包的金额比例是什么.(3分)

0.2

见上题图

检材三 (计算机内存镜像)

25.检材三中进程"FTK Imager.exe"的 PID 是多少?(2分)

11328

26.检材三中显示的系统时间是多少?(格式: YYYY-MM-DD HH:MM:SS)(2分)

2023-12-12 04:06:25

27.检材三中记录的当前系统ip是多少?(2分)

172.18.7.229

检材四 (红米手机备份数据)

28.检材四中迅雷下载过的文件名是什么?(1分)

《向银河靠近》.txt

29.检材四中安装了哪些可是实现翻墙(VPN)功能的 app?(1分)

Clash

一眼Clash

30.检材四备份的设备系统版本是多少?(1分)

V14.0.2.0.TKSCNXM

查看小米备份文件descript.xml

31.检材四备份的时间是多少(答案以 13 位时间戳表示)(1分)

1702459232429

32.检材四中 FileCompress app 包名是什么?(1分)

com.zs.filecompress

是一个压缩软件

33.检材四中备忘录记录的内容是什么?(1分)

Vcpswd:edgewallet

备忘录内容Vcpswd:edgewallet指向vc密码，密码是pR7)nZ5&yQ2-oR0<

检材一中有vc，在最近访问的项目中寻找容器，按大小来说，新建文本文档最可能是

解出两个txt，9月是诈骗名单，10月是加密的zip

34.请列出检材四中所有虚拟币钱包 app 的包名, 如有多个用顿号分隔.(3分)

de.schildbach.wallet、com.bitcoin.mwallet、piuk.blockchain.android、im.token.app、com.paxful.wallet

官方wp说火币是交易平台，不算虚拟币钱包app

35.检材四中嫌疑人使用 Bitcoin Wallet 钱包地址是什么?(3分)

bc1q4ru3a8r0vzymwwcmawvtdyf6hkvt2x9477hjkt

参考官方wp，在检材4/Bitcoin Wallet(de.schildbach.wallet).bak/apps/de.schildbach.wallet/f/log/wallet.log里，官方给的搜索enlarged关键字，不太懂为啥搜这个，感觉直接搜walletaddress也能很快搜到

36.MD5 值为"FF3DABD0A610230C2486BFFBE15E5DFF"的文件在检材四中的位置(2分)

FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt

查看文件，挑比较奇怪的看一眼

第一个就是，同时印证34题莫名其妙提到FileCompress app，11月.txt是个加密的压缩包

综合题目

37.检材中受害人的微信号是多少?(2分)

B-I-N-A-R-Y

38.嫌疑人曾通过微信购买过一个公民信息数据库, 该数据库中手机尾号是 8686 的用户的姓名是(3分)

章敏

公民数据库在电脑微信里，导出数据库，用navicat连接

substring函数截取手机号后四位

39.嫌疑人手机中是否保存了小西米语音 app 的账号密码, 如有, 请写出其密码(5分)

jamvU1@wiwgug$bo

40.公民信息数据库中, 截止到 2023 年 12 月 31 日, 年龄大于等于 18 且小于等于 30 岁之间的用户信息数量(5分)

1717

substring函数截取出生日期，导出数据，进行下一步筛选

截止到 2023 年 12 月 31 日年龄大于等于 18 且小于等于 30 岁，就是说出生日期在2006年1月1日前，在1993年1月1日后

41.受害人小浩的手机号码是多少(5分)

13533333333

公民信息数据库中没有

之前9月.txt有提到受害人名单，10月和11月应该也是诈骗名单，要解密，11月位于FileCompress下面，FileCompress是个解压工具，加密是用FileCompress加密的，参考官方wp，找到安装包

在主函数中找到了密码

1!8Da9Re5it2b3a.

成功解密

42.完整的受害人名单是几个人(6分)

6

43.受害人转账的总金额是多少(5分)

600

备份的手机里有200(2023-11-24 17:19:53)+200（2023-11-28 14:14:40)

检材2有200（2023-12-07 13:41:56)