【电子取证】2024数证杯决赛团队赛——手机取证

admin
admin
admin
138635
文章
114
评论
2025年2月9日00:54:41评论38 views字数 2305阅读7分41秒阅读模式

这次的检材不是手机镜像,而是雷电手机快取的备份

加上现在弘联软件使用不了,用一下国外软件AXIOM试一试吧

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250205143416848

1. 分析手机检材,请找出嫌疑人的手机号; (2.0分)【17317514940】

先看一下系统目录,基本都是应用的包,其中有一个PhoneData的目录,进去看一看

进来之后发现一个siminfo的json文件,里面包含了sim卡的信息,其中有电话号

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250205143654633

2. 分析手机检材,嫌疑人曾经访问的公共服务后台管理系统的URL是?(答题格式:https://abc/...) (4.0分)【https://ggfw.ynylbz.cn/manage/#/login?redirect=/Home】

这里有了弘联了,AXIOM感觉取备份还是有点牵强,用弘联吧

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208131451292

3. 分析手机检材,找出嫌疑人在笔记中记录的接头地点;(答案格式:需与实际完全一致) (4.0分)【上海市浦东新区木兰花路666号】

该手机检材里面有两个笔记软件,一个是笔记,一个是自由笔记。在我之前的文章里面提到过一个思路。按照日常逻辑来说,当检材的主人在使用系统自带的某些基础软件如便签,记事本的时候,如果出现同样用途的第三方软件,那大概率证据会存在第三方软件上。

找到自由笔记目录

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208132150421

a目录里的base.apk拖到模拟器里面安装

再使用MT管理器进入/data/data目录,找到自由笔记目录,覆盖数据

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208143140190
【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208143204858
【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208143217380

4. 分析手机检材,找出嫌疑人的接头暗号;(答案格式:需与实际完全一致) (6.0分)【送你一朵小红花】

接上题

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208143518499

5. 分析手机检材,找出嫌疑人10月23日开的腾讯会议的入会密码; (2.0分)【201808】

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208143558500

6. 分析手机检材,找出嫌疑人公司即将发布的新产品型号;(答案格式:需与实际大小写完全一致) (4.0分)【AeroX-900】

有这么一个聊天,那就找苗苗生日呗,找不到,算了爆破

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208144653504

三种可能,四位密码,六位密码,八位密码

手头没有字典的话直接暴力破解就行

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208145737801
【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208145858904

7. 分析手机检材,找到嫌疑人曾经发送的项目前期资料文件,计算其SHA256;(答案格式:如遇字母全大写) (4.0分)【2425440b48170763aea97931d806249a298afac72a4bed92a6494e6789acda19】

众所周知哈,数证是一个misc比赛,当聊天记录有这么一个文件的时候,哈,聊天记录+文件,数证buff叠加,来来来做misc了

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208144441736

给后缀改成zip,发现文件

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208144530848
【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208150055710

8. 分析手机检材,嫌疑人曾进行过一次交易,请问嫌疑人与转账的接收者什么时候成为好友?(答案格式:2021-01-01 01:01:01) (2.0分)【2024-10-23 15:33:21】

我想复杂了,还去数据库找了一顿

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208152915045

9. 分析手机检材,写出嫌疑人钱包账户的导入时间;(北京时区,答案格式:1990-01-01 01:01:01) (6.0分)【2024-11-22 17:18:30】

一开始有点懵,怎么支付宝钱包账户还需要导入,翻了一下应用列表发现是Metamask

锁到files里面的persist-root,搜import

【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208154403555
【电子取证】2024数证杯决赛团队赛——手机取证
image-20250208154448914

经验总结

① 第二、三题的数据覆盖技巧,可以记一下

记住目录不是Android/data的那个data目录,而是/data/data这个目录。在文件管理里是没法直接接触到根目录,需要使用MT管理器

② MetaMask的persist-root文件

1. 账户信息

  • 钱包地址
  • 公钥/私钥(加密存储)
  • 助记词(可能以加密形式存储)
  • 账户名称(如“主账户”)

2. 交易记录

  • 已签署的交易列表(如交易哈希、时间戳、金额)
  • 交易详情(如 gas 费、交易接收方、发送方)
  • 未完成的交易(正在等待签名或确认)

3. DApp 配置

  • 已连接的 DApp 列表
  • 网络信息(如所连接的 Ethereum 主网、测试网、Polygon、Binance Smart Chain 等)
  • DApp 请求状态(如钱包授权请求)

4. 应用设置

  • 界面语言(如 zh-CNen-US
  • 主题设置(深色模式、浅色模式)
  • 网络配置(例如设置 MetaMask 使用的 Ethereum 网络)

5. 缓存数据

  • 交易历史缓存(已查看的交易信息)
  • 缓存的代币信息(如余额、交易记录)

6. 加密信息

  • 加密密钥(用于加密钱包信息)
  • 私钥加密信息(可能通过 AES 或其他算法加密)
  • 钱包备份信息(以加密格式存储的 JSON 文件)

7. UI 偏好设置

  • 显示设置(如交易历史显示的条目数)
  • 列表排序设置(例如按日期或金额排序)

8. 状态信息

  • 应用当前状态(例如是否已登录、当前连接的网络)
  • 错误日志(可能会记录错误和调试信息)
  • 连接状态(如是否已连接到某个 DApp 或账户)
【电子取证】2024数证杯决赛团队赛——手机取证

原文始发于微信公众号(云淡纤尘):【电子取证】2024数证杯决赛团队赛——手机取证

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月9日00:54:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【电子取证】2024数证杯决赛团队赛——手机取证https://cn-sec.com/archives/3715899.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息