刚打完比赛,复盘
基本情况
基本案情
受害人报案,其被嫌疑人王某多次通过微信进行诈骗,对受害人手机进行快采后,公安机关根据已有线索,发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。
检材
(1)检材1为“检材1.rar”的压缩包,文件大小为26,733,550,222 字节,MD5校验值为663595771FA127895307413979758C15,是从嫌疑人电脑提取的镜像文件。
(2)检材2为为“检材2.rar”的压缩包,文件大小为889,434,254 字节,MD5校验值为4BDFE927A945D90ABACA670BE547E594,是从嫌疑人iphone手机提取的备份文件夹。
(3)检材3为“检材3.rar”的压缩包,文件大小为2,376,793,278 字节,MD5校验值为00E8D29E9A610F79644A54FF9A55BDA5,是从嫌疑人电脑提取的内存镜像文件。
(4)检材4为“ 检材4.rar”的镜像,文件大小为5,589,216,702 字节,MD5校验值为C747C3699A3CFE08B3C2E8BF9FA64B07,是从嫌疑人红米手机提取的备份文件夹。
鉴定过程
检材一硬盘的MD5值为多少?(1分)
80518BC0DBF3315F806E9EDF7EE13C12
检材一bitlocker的恢复密钥是多少?(5分)
比赛的时候用PasswareKitForensic爆了一个半小时也算是出来了
EFDD十几秒出答案
检材一镜像中用户最近一次打开的文件名是什么?(1分)
bitlocker解开后一把梭了
检材一硬盘系统分区的起始位置?(2分)
硬盘系统分区的起始位置=起始扇区*512
检材一系统的版本号是多少(格式:x.x.x.x)(1分)
仿真进去后系统设置–关于中查看
检材一回收站中的文件被删除前的路径(2分)
检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)
检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)
检材一Chrome浏览器最后一次搜索过的关键词是什么(2分)
检材一是否连接过U盘,如有,请给出U盘的SN码(2分)
检材一Edge浏览器最早一次下载过的文件文件名是(2分)
嫌疑人访问的微博的密码的MD5值(3分)
离线工具解码
检材二备份的设备名称是什么?(1分)
检材二手机的IOS系统版本是多少(1分)
检材二备份的时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(1分)
嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。(格式:YYYY-MM-DD HH:MM:SS)(2分)
计算机镜像中有ios备份,导出
加载发现被加密,在先前的内存镜像加载时有提示的,五位数字爆破一下,结合Manifest.plist爆破
解密后查看备份文件
检材二使用过的号码ICCID是多少。(2分)
检材二手机中高德地图最后搜索的地址。(2分)
检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
检材二中“小西米语音”app的Bundle ID是什么? (2分)
找到查看包名
bundle id相当于安卓的包名,应该是这样
检材二中浏览器最后一次搜索的关键词是什么?(2分)
嫌疑人和洗钱人员约定电子钱包的品牌是什么,如有多个用顿号分隔。(3分)
有app可以看一下数据库,意外惊喜
00008030-001619320C68802E.tar/AppDomain-com.titashow.tangliao/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1399634813467579522
嫌疑人和洗钱人员约定电子钱包的金额比例是什么。(3分)
检材三中进程“FTK Imager.exe”的PID是多少?(2分)
检材三中显示的系统时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(2分)
检材三中记录的当前系统ip是多少?(2分)
还有别的办法,不太会
检材四中迅雷下载过的文件名是什么?(1分)
检材四中安装了哪些可是实现翻墙(VPN)功能的app?(1分)
网页Clash代理软件是一款广受欢迎的开源网络代理工具,被亲切地称为’小猫咪’。 作为众多GUI客户端(如Clash for Windows、Clash for Android、ClashX等)的核心引擎
imToken 是一款全球领先的区块链数字资产管理工具,支持多种链资产的安全、可信赖、便捷的管理和转账服务
检材四备份的设备系统版本是多少?(1分)
descript.xml中找到
检材四备份的时间是多少(答案以13位时间戳表示)(1分)
就在后面
检材四中FileCompress app 包名是什么?(1分)
检材四中备忘录记录的内容是什么?(1分)
请列出检材四中所有虚拟币钱包app的包名,如有多个用顿号分隔。(3分)
检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么?(3分)
MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置(2分)
检材中受害人的微信号是多少?(2分)
B-I-N-A-R-Y
嫌疑人曾通过微信购买过一个公民信息数据库,该数据库中手机尾号是8686的用户的姓名是(3分)
去找数据库
嫌疑人手机中是否保存了小西米语音app的账号密码,如有,请写出其密码(5分)
公民信息数据库中,截止到2023年12月31日,年龄大于等于18且小于等于30岁之间的用户信息数量(5分)
就是筛选出生日期在1993-2005间的人
SELECT COUNT(*)
FROM users
WHERE
SUBSTRING(IDCARD, 7, 4) BETWEEN ‘1993’ AND ‘2005’;
受害人小浩的手机号码是多少(5分)
见下题
完整的受害人名单是几个人。(6分)
发现可以vc加密文件
受害人转账的总金额是多少(5分)
合并检材二和备份文件的流水