本届“美亚杯”考点涵盖Windows、Linux、macOS三大主流系统,涉及计算机和手机取证分析、服务器数据库分析、网络抓包分析等技术领域。其中,在资格赛中涉及即时通讯应用Signal的相关题目难倒许多参赛选手。
早在上一届“美亚杯”,取证小程序平台便已经推出对Signal软件解析的小程序。正所谓“学海无涯,心存高远”,在本届赛事中,美亚柏科取证小程序研发团队派出参赛队伍,在实践中检验实力。
在比赛过程中,小程序研发人员发现Signal软件版本已更新,原有程序代码不像以往那样可以直接解析出数据。经过短时间内新旧版本的Signal软件比对分析,小程序研发人员发现新版本的Signal软件数据库结构发生细微变化,在原有代码的基础上进行微调,程序便能正常运行,并以此完美解答第八届美亚杯资格赛第37-42题。
图1 新旧版本的Signal数据库差异
根据对旧版本Signal通讯软件的分析可知,Signal通讯软件将数据存储在%AppData%目录下RomingSignal文件夹(如:C:UsersAdminAppDataRoamingSignal)。聊天记录存储在%AppData%RomingSignalsqldb.sqlite文件中。
图2 数据库位置
在配置文件“%AppData%RomingSignalconfig.json”文件中可以找到数据库密码,如下图:
图 3数据库密码
图4 数据库解密配置参数
在此次“美亚杯”资格赛中,与Signal软件相关的题目总共有14分,其分量之重不言而喻。
图5 资格赛Signal相关题目
基于对原有Signal取证小程序的更新,快速开发出可直接查看即时通讯应用Signal的联系人、聊天记录、聊天附件、消息ID、附件导出路径等相关信息的小程序。
通过运行Signal小程序,可以在林浚熙计算机中知道他在Signal即时通讯软件中有五个联系人。在比对林浚熙手机号85259308538后,可知联系人中有一个为林浚熙本人,所以林浚熙在Signal的联系人有4个,如下图:
图6 联系人信息
通过查看好友聊天信息,可以发现林浚熙曾与一位名为King的人对话,再通过联系人信息,可发现King为备注名,且他的电话为85270711901。
图7 联系人电话
图8 附件
图9 转账编码
原文始发于微信公众号(网络安全与取证研究):美亚杯个人赛复盘部分之取证小程序高效解析Signal通讯软件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论