首先嗷,仅代表个人评价一下就是说赛委会在出题的时候不严谨,我一度怀疑我的语文阅读能力有问题,但是呢,这次的取证题目虽然不是很难,但是有些地方我也是依旧没有找到,说了这么多,接下来,就是复现了:
2023年初,某地公安机关抓获一个网络诈骗技术嫌疑人,公安机关在扣押嫌疑人后,对嫌疑人手机进行数据提取,在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除,根据嫌疑人交代,其在删除通话及短信记录前使用过同伙编写的测试软件,该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要,请参赛队员分析手机镜像及对应apk,完成取证题目。
-
检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)
在检材解压后的logs.log中看
-
嫌疑人手机SD卡存储空间一共多少GB?(答案格式: 22.5)
在检材解压后的logs.log中看
-
嫌疑人手机设备名称是?(答案格式:adfer)
在检材解压后的logs.log中看
-
嫌疑人手机IMEI是?(答案格式:3843487568726387)
-
嫌疑人手机通讯录数据存放在那个数据库文件中?(答案格式:call.db)
-
*****嫌疑人手机一共使用过多少个应用?(答案格式:22)
这个题我暂时也不知道正确答案,等官方wp出来后再看
-
测试apk的包名是?(答案格式:con.tencent.com)
-
测试apk的签名算法是?(答案格式:AES250)
-
测试apk的主入口是?(答案格式:com.tmp.mainactivity)
-
测试apk一共申请了几个权限?(答案格式:7)
-
测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)
jadx搜calllog.txt
base64加密
-
10086对嫌疑人拨打过几次电话?(答案格式:5)
找到calllog.txt,对其中内容进行base64解码,找到10086
-
测试apk对短信记录进行了几次加密?(答案格式:5)
2次 AES+BASE64
-
测试apk对短信记录进行加密的秘钥是?(答案格式:slkdjlfslskdnln)
本来是想hook出key值的,但是模拟器中没有短信APP
貌似是一个静态的值,apk解包后ida64分析lib中的so文件
在字符串中找到Getkey
G分析代码可以看到对first进行了转换
找到first:lijubdyhfurindhcbxdw
在这里进行了base64编码
得到bGlqdWJkeWhmdXJpbmRoY2J4ZHc=
拿这个key去解密SMS.txt中的内容
https://www.mklab.cn/utils/aes
-
嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)
在解密出的短信内容中可以看到
总体难度不大,但确实最后两道题我在赛场的时候并没有做出来,后来是跟着大佬的思路才做出来的:2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp