2024獬豸杯电子数据取证竞赛参考wp

文中的思路仅代表个人观点，如有错误之处请大佬指正，欢迎各路大神一起交流学习

检材链接：https://pan.baidu.com/s/1PswS5T-52c9xn3wBXhvIsQ?pwd=ab6o 解压密码：都考100分

01

—

手机基本信息

1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

2024-01-15.14:19:44

2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

3

QQ

陌陌

小西米

3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）

89860320245121150689

4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

20240115

查看小西米数据目录下的cookie文件创建日期

地图数据

1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）

天铂华庭

浏览器

1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

Bookmarks.db

2、手机机主计划去哪里旅游。（标准格式：苏州）

拉萨

火眼没解析Safari的搜索记录，手机大师可以解析

即时通讯

1、手机机主查询过哪个人的身份信息。（标准格式：龙信）

龙黑

火眼的耗时任务-其他应用可以分析找到小西米的数据库，在中科实数杯中考过查看这个软件的数据库

小西米聊天记录数据库/AppDomain-com.titashow.tangliao/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1407383114858132610/im5db

2、请问机主共转多少费用用于数据查询。（标准格式：1000）

1100

同上题

3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

4

短信中有一张图片

身份证倒数第二位是奇数的为男性，其中最后两条身份证位数不全

张二、李四、江三、王也（题目不是很严谨，这个出生日期一眼丁真）

计算机取证

基本信息

1、计算机系统的安装日期是什么时候。（标准格式：20240120）

20240112

系统痕迹

1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

data.zip

数据库分析

1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

2021-03-17 15:49:52

分析邮件可知密码是以555结尾的手机号

文件就是上题的data.zip

passwarekit掩码爆破得到压缩包密码：15566666555

本地小皮面板起一个MySQL

在MySQL配置文件my.ini的[mysqld]块下加入skip-grant-tables设置免密登录

备份一下本地的数据库后将得到的data目录覆盖本地MySQL的data目录

Navicat连接

root用户最后一次更改密码的时间在mysql数据库的user表

2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

5

如果直接用弘连的数据库取证工具能看到的只有4个，手动恢复的有5个

3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

488313

工资表是salaries_list

4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

1486

分析部门表team_list可知Finance部门的部门id为d002

人员与部门相对应的表在hiredate

统计部门代码为d002且from_data不早于1999-01-01的记录个数

邮箱服务器

1、请问邮箱服务器的登录密码是多少。（标准格式：admin）

900110

解析手机的备忘录可以看到计算机的BitLocker密码为Longxin@123

解密BitLocker分区后找到hMailServer的配置文件

/hMailServer/Bin/hMailServer.INI

cmd5解密哈希值

2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

3

仿真后运行D:hMailServerBinhMailAdmin.exe，密码是900110，在longxin.com这个域名下找到三个账号

3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

3

4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

中国路999号

查看foxmail可以看到一个待会见.jpg

winhex修改图片高度

搜索16进制数值FFC0

修改图像高度（增大数值）后保存更改

得到隐写的地址

APK分析

1、APP包名是多少。（标准格式：com.xxx.xxx）

com.example.readeveryday

GDA分析

2、apk的主函数名是多少。（标准格式：comlongxin）

StartShow

3、apk的签名算法是什么。（标准格式：xxx）

SHA1withRSA

jadx分析

4、apk的应用版本是多少。（标准格式：1.2）

1.0

在AndroidManifest.xml中找到android:versionName="1.0"

5、请判断该apk是否需要联网。

是

在主函数StartShow中可以看到申请了连接互联网权限

6、APK回传地址？（标准格式：127.0.0.1:12345）

10.0.102.135:8888

在MainActivity

7、APK回传数据文件名称是什么。（标准格式：1.txt）

Readdata.zip

同上题

8、APK回传数据加密密码是多少。（标准格式：admin）

19_08.05r

在MainActivity的EncryFile方法中

9、APK发送回后台服务器的数据包含以下哪些内容？（多选）

A.手机通讯录

B.手机短信

C.相册

D.GPS定位信息

E.手机应用列表

ABE

查看在MainActivity中定义的字符串可以判断

contact开头是通讯录相关、app开头是应用相关、sms开头是短信相关

写在最后

题目不是很难，题量相比龙信杯少得多，但是有些坑点，比如各种藏密码藏数据的小套路，还有软件解析与手动恢复的差异以及apk签名算法的格式差异，多在娱乐赛中积累经验，在大赛中就可以有更多思路解题

点点关注不迷路

喜欢的看官还请多多点赞和转发