Skip to main content

手机取证

2024-12-8

容器密码

mW7@B!tRp*Xz46Y9#KFUV^J2&NqoHqTpLCE%8rvGW(AX#1k@YL3$M5!bWY*9HLFq7UZR6^T!XoVmPK28J&CY9%6(Arz#tbU4oXYKLp7Wq^FV9H

检材:通过网盘分享的文件:团队赛检材容器 链接: https://pan.baidu.com/s/1GjitvFChM3VmOzKA1Gz46Q?pwd=znck 提取码: znck

当时是队友做的手机取证,我没看过一眼,只能对着当时的答案去复现,有问题的我会自己判断()

1. 分析手机检材,请找出嫌疑人的手机号; (2.0分)

13023161693

image-20241207204223282

2. 分析手机检材,嫌疑人曾经访问的公共服务后台管理系统的URL是?(答题格式:https://abc/...) (4.0分)

https://ggfw.ynylbz.cn/manage/#/login?redirect=/Home

直接想法就是看浏览器

image-20241207211409675

3. 分析手机检材,找出嫌疑人在笔记中记录的接头地点;(答案格式:需与实际完全一致) (4.0分)

上海市浦东新区木兰花路666号

题目提到了笔记,那么寻找一下笔记的软件,选择一下非系统预装的软件,发现一个笔记和一个自由笔记。但是按照考点来说,我个人偏向于先看自由笔记的软件,那么找到这个包名的data

image-20241207212642914

image-20241207213239307

小米的导出来是这样的:

image-20241207215234962

正常的是类似这样的:

image-20241207215404260

我们可以通过先安装到模拟器里面,然后对照着当前的格式进行修改

image-20241207221546328

db:databases
sp:shared_prefs
f:files
r:里面的东西拖出来,然后删掉r文件夹
删掉a和ef不用管,最后如下

image-20241207223524814

将这个传到模拟器中的/data/data下,然后打开软件

image-20241207225615494

*4. 分析手机检材,找出嫌疑人的接头暗号;(答案格式:需与实际完全一致) (6.0分)

送你一朵小红花

不知道为什么看不到内容

image-20241207225752190

试了一下,发现用笔在上面画画的时候,自己都看不到内容,这就很奇怪了。

问其他师傅就是仿真然后直接可以看,估摸着就是上面用笔写的字。

5. 分析手机检材,找出嫌疑人10月23日开的腾讯会议的入会密码; (2.0分)

201808

翻聊天记录的时候发现对方删除了一条消息,不过火眼能直接看到

image-20241207212514568

6. 分析手机检材,找出嫌疑人公司即将发布的新产品型号;(答案格式:需与实际大小写完全一致) (4.0分)

AeroX-900

苗苗跟机主讨论了发布会的问题

image-20241207234805339

发现加密算法是AES(如果是deflate那么就不想去弄个生日密码本了)

image-20241207234835128

随便写个脚本弄个生日

fw = open('birth.txt','a')
for i in range(1950,2025):
for j in range(1,13):
for k in range(1,31):
password = str(i) + str(j).zfill(2) + str(k).zfill(2)
fw.write(password+'\n')

image-20241207235247143

image-20241207235259725

7. 分析手机检材,找到嫌疑人曾经发送的项目前期资料文件,计算其SHA256;(答案格式:如遇字母全大写) (4.0分)

2425440B48170763AEA97931D806249A298AFAC72A4BED92A6494E6789ACDA19

image-20241207234148970

发现有发送过一份资料,但打开之后几个字,却用了450KB,猜测是docx的压缩包里藏了东西,因此改成.zip解压,发现

image-20241207234235339

image-20241207234417020

8. 分析手机检材,嫌疑人曾进行过一次交易,请问嫌疑人与转账的接收者什么时候成为好友?(答案格式:2021-01-01 01:01:01) (2.0分)

2024-10-23 15:33:22

发现支付宝有一条转账记录,前面就是添加好友的时间。

image-20241208120817479

9. 分析手机检材,写出嫌疑人钱包账户的导入时间;(北京时区,答案格式:1990-01-01 01:01:01) (6.0分)

2024-11-22 17:18:30

首先找到钱包

image-20241208120926171

导出之后想尝试仿真,但是有密码又不知道。

找到\f\persistStore\persist-root

搜索importTime,然后时间戳转换,再UTC+8

image-20241208215100776

image-20241208215133569