【2024数证杯】初赛手机部分Writeup

admin 2024年11月26日10:41:50评论16 views字数 4261阅读14分12秒阅读模式

近期举办的数证杯初赛已告一段落,天鉴电子数据取证实验室的技术伙伴们也第一时间对初赛手机部分的试题做了复盘解析给各位作为参考,如有不足之处欢迎各路大神指正!

【2024数证杯】初赛手机部分Writeup

【2024数证杯】初赛手机部分Writeup

【2024数证杯】初赛手机部分Writeup

通过下方任意链接即可下载本次初赛检材:

下载链接1:

https://pan.baidu.com/s/1PFonQ--BRpTUc0ZzauM85Q?pwd=ksen

提取码:ksen

下载链接2:

https://pan.baidu.com/s/1n4u-tWdAkkLTyBFkqvdU4g?pwd=uuk4

提取码:uuk4

容器文件MD5值:4AAA79BA46C2065FC5C4D5DC97202F3D

容器密码:

/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;

手机部分的检材为E01格式的镜像,使用X-Ways Forensics对其进行加载后可知该检材文件文件为Android设备的物理镜像。

【2024数证杯】初赛手机部分Writeup

接下来使用“天鉴手机取证分析系统”,尝试对检材文件进行数据分析。在添加设备时选择【手机镜像】,然后指向文件所在的路径,软件将自动进行数据处理和分析。

【2024数证杯】初赛手机部分Writeup

01

/

对手机镜像进行分析,机主微信ID号为?

参考答案:

wxid_gvlyzqeyg83o22

复盘分析

题目要求分析出微信的ID。等待软件自动处理完数据后,点击软件左侧【即时通讯】-【微信】-【账号信息】,即可查看当前设备上微信的账号信息。

【2024数证杯】初赛手机部分Writeup

02

/

对手机镜像进行分析,机主在2023年12月登录宝塔面板使用的验证码为?

参考答案:

482762

复盘分析

在登录宝塔面板时需要向手机发送验证码短信,所以题目所问登录宝塔面使用的验证码应该尝试在设备的短信息数据中查找。

可在软件中可使用【搜索】功能,在菜单栏点击【搜索】-【案件综合搜索】(分析结果搜索)。

【2024数证杯】初赛手机部分Writeup

“宝塔面板”作为关键字进行搜索。

【2024数证杯】初赛手机部分Writeup

搜索完毕后在软件的【搜索结果】界面将显示搜索结果。搜索结果的时间也符合题目中要求的时间。

【2024数证杯】初赛手机部分Writeup

03

/

对手机镜像进行分析,小众即时通讯“鸽哒”应用程序的最后更新时间为?

参考答案:

2024-09-20 09:25:19 或 2024-09-20 10:06:13

复盘分析

应用程序的更新时间我认为应该从/data/system/packages.xml文件中获取,其中记录三个时间戳,分别是ft上次APK文件修改时间、it首次安装时间和ut上次更新时间。题目问应用程序的更新时间那么我认为应该指的是ut时间,即“1920d08971c”使用Dcode转换后得到的结果是2024-09-20 09:25:19。

【2024数证杯】初赛手机部分Writeup

但在对该App进行数据分析时发现tio.db数据库,表CURR_USER_TABLE中有一列名为“UPDATETIME”,其中所记录的时间戳为2024-09-20 10:06:13,但通过数据表的名称来看,猜测这里的更新时间应该为登录用户的更新时间。一切以官方给出的标准答案为准。

【2024数证杯】初赛手机部分Writeup

04

/

对手机镜像进行分析,该手机中记录的最后一次开机时间。

参考答案:

2024-10-24 11:27:14

复盘分析

设备的最后一次开机时间可通过“last_boot_time_utc”文件获取,位于/data/misc/bootstat目录。

在软件左侧点击【数据源】进行切换,然后浏览到指定目录便可查看此文件。“last_boot_time_utc”文件的大小为0字节,在设备每次启动时将更新该文件的时间戳,可依据此文件的修改时间来判断设备最后一次的启动时间。

【2024数证杯】初赛手机部分Writeup

05

/

对手机镜像进行分析,该手机中高德地图APP应用的登录ID为?

参考答案:

950980338

复盘分析

登录ID的信息在多个配置文件以及数据库中都有记录,例如deviceML.db数据库中的表behavior,其中userId一列记录的是当前登录的账户ID。

【2024数证杯】初赛手机部分Writeup

06

/

对手机镜像进行分析,该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?

参考答案:

8F8A68A3

复盘分析

高德地图的头像文件从/data/media/0/Android/data/com.autonavi.minimap/avatar目录获取,如图所示。

【2024数证杯】初赛手机部分Writeup

07

/

对手机镜像进行分析,其中20220207-20230206的微信账单文件的解压密码为?

参考答案:

847905

复盘分析

(做题时根据题目的描述,以为题目所指是一个压缩包文件。最终在手机截图中发现了线索)

【2024数证杯】初赛手机部分Writeup

在手机的屏幕截图中发现其两张申请交易明细证明的截图,根据题目中提及的日期进行排除,最终得到本题的答案。

【2024数证杯】初赛手机部分Writeup

08

/

对手机镜像进行分析,机主在手机存储的一张复古土砌矮墙照片的拍摄地为哪个城市?

参考答案:

景德镇市

复盘分析

对手机中的照片进行分析,寻找到符合题目描述的照片,其文件名为“IMG_20220723_083615.jpg”。

【2024数证杯】初赛手机部分Writeup

在进行数据分析时如果在软件中选择了解析EXIF数据,那么此时通过查看该照片的EXIF信息便可知此照片的拍摄位置。

【2024数证杯】初赛手机部分Writeup

09

/

对手机镜像进行分析,通过AI合成的人脸照片中,有几张照片是通过本机当前安装的AI照片合成工具生成,并有对应记录的?

参考答案:

3

复盘分析

检材中安装的AI照片合成工具包名为“uni.UNI2DBD214_1”,照片的生成记录可在ksadcache.db数据库中的表ksad_ad_cache中获取。

【2024数证杯】初赛手机部分Writeup

10

/

对手机镜像进行分析,统计出通讯录号码归属地第二多的省份是?

参考答案:

福建省

复盘分析

在软件中【基本信息】-【通讯录】中将所有联系人信息进行导出,导出格式选择【CSV】。

【2024数证杯】初赛手机部分Writeup

导出成功后打开导出文件,选中【号码】一列进行复制。

【2024数证杯】初赛手机部分Writeup

将复制出的数据粘贴至http://tools.bugscaner.com/mobile/,使用在线工具进行归属地批量查询。

【2024数证杯】初赛手机部分Writeup

并将查询结果以文件的形式导出至excel表格,打开导出结果,选中“归属地”一栏,点击【数据】-【筛选】,进行排序后可知最多的归属地是浙江,第二多的是福建。

【2024数证杯】初赛手机部分Writeup

11

/

对手机镜像进行分析找出“季令柏”身份证号后4位为?

参考答案:

8043

复盘分析

/data/media/0/DCIM中发现了一张名为“我的身份证电子信息.png”的图片,通过底层十六进制分析发现,该文件文件签名部分缺失八个字节导致该文件不可被预览。

【2024数证杯】初赛手机部分Writeup

根据底层十六进制的特征以及文件后缀名可将文件缺失部分不全“0x89504e470d0a1a0a”。

【2024数证杯】初赛手机部分Writeup

修改过后进行保存,此时文件可以正常预览,通过该图片文件可知本题答案。

【2024数证杯】初赛手机部分Writeup

12

/

对手机镜像进行分析,找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为?

参考答案:

2024-09-20 09:29:40

复盘分析

在软件中以“葵花宝典1.doc”作为关键字进行搜索,通过搜索结果可知该文件出现在“/data/org.telegram.messenger”应用程序中,接下来分析Telegram应用程序第一次的安装时间。

【2024数证杯】初赛手机部分Writeup

Android系统中应用程序的安装信息被记录在/data/system/packages.list和packages.xml文件中。其中packages.xml文件记录应用程序被安装的详细信息,其中就包括首次安装时间。

【2024数证杯】初赛手机部分Writeup

使用文本编辑软件打开该文件,在文件中搜索关键字“org.telegram.messenger”,题目所问第一次安装时间是多少,所以通过it时间戳获取。

【2024数证杯】初赛手机部分Writeup

使用Dcode进行时间戳转换,时间戳格式选择“Hexadecimal(Big-Endian)”。

【2024数证杯】初赛手机部分Writeup

13

/

对手机镜像进行分析,机主使用的小众即时通讯应用使用的服务器IP为?

参考答案:

163.179.125.64

复盘分析

题目中提及的小众即时通讯应用为“鸽哒”,其包名为“com.geda123.tio.chat”,从/data/app目录中获取对应的APK文件。

【2024数证杯】初赛手机部分Writeup

解题时使用了开源工具“apk2url”,可在https://github.com/n0mi1k/apk2url下载或者在线安装。将geda.apk文件与apk2url.sh放置同一目录,并在终端中执行./apk2url.sh geda.apk。

【2024数证杯】初赛手机部分Writeup

等待数秒后结果将被输出至txt文件中,查看运行结果可知本题答案。

【2024数证杯】初赛手机部分Writeup

14

/

对手机镜像进行分析,机主在哪个平台上发布过转让传奇游戏币的信息,请写出该平台应用APP的包名?

参考答案:

com.jiuwu

复盘分析

“传奇”作为关键字进行搜索。发现在“/data/com.jiuwu”App的文件中发现了传奇游戏币的转让信息。

【2024数证杯】初赛手机部分Writeup

15

/

对手机镜像进行分析,其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少?

参考答案:

3000

复盘分析

(根据题目描述,尝试对检材内html文件进行了过滤,并且尝试分析浏览器相关数据,但没有结果。)

在进行数据分析时发现了检材中安装了一款笔记软件,其包名为“com.snmitool.freenote”,在对其数据库进行分析时发现,在“datap-todo”数据库文件中的“NOTE_BEAN”数据表中发现了线索。

【2024数证杯】初赛手机部分Writeup

“CONTENT”字段中记录了多个网址,逐个查看网页内容发现“https://www.cwl.gov.cn/fcpz/yxjs/ssq/”对应的是双色球的中奖规则。

【2024数证杯】初赛手机部分Writeup

16

/

对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的用户ID为?

参考答案:

2968704175

复盘分析

关于小米物联网生态的数据分析,小编曾经写过一篇文章【小米物联网生态取证初探

https://mp.weixin.qq.com/s/cL8c7VOA_AZkIQN8oUb9bg,接下来两道关于米家App数据分析题目的答案正好可以从文章中找到做题思路和答案。

用户ID的相关信息可以从miio.db数据库中找到,文件位于/data/com.xiaomi.smarthome/databases目录。

【2024数证杯】初赛手机部分Writeup

其中表“shareuserrecord”中的“userId”列记录的是用户的ID信息。

【2024数证杯】初赛手机部分Writeup

17

/

对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的IP地址为?

参考答案:

192.168.110.106

复盘分析

/data/com.xiaomi.smarthome/files/device30/cache/device_list_xxx文件中可以获取到摄像头终端设备的IP地址。通过分析文件可知摄像头型号为“小米智能摄像机3云台版”,此外文件中还记录了摄像头的物理地址。

【2024数证杯】初赛手机部分Writeup

【2024数证杯】初赛手机部分Writeup

原文始发于微信公众号(网络安全与取证研究):【2024数证杯】初赛手机部分Writeup

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日10:41:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【2024数证杯】初赛手机部分Writeuphttps://cn-sec.com/archives/3438096.html

发表评论

匿名网友 填写信息