2024獬豸杯-forensics
备战数字中国,争取和队里一起冲进线下。
web取证双修!(仙武双修)继续取证!
APK分析
JADX打开apk包。
APK分析-1
点开即得:
APK分析-2
直接资源文件 => AndroidManifest.xml => android:name:
StartShow
APK分析-3
APK Signature =>
SHA1withRSA
APK分析-4
还是这页:
1.0
APK分析-5
StartShow => isPermissionGranted:
是
APK分析-6
10.0.102.135:8888
APK分析-7
还是这里:
Readdata.zip
APK分析-8
19_08.05r
APK分析-9
审审代码就知道了,显然ABE。
这APK取证跟玩似的呃呃。
计算机取证
给了个dd镜像。
基本信息-1
取证大师可以一把梭,但是我找不到下的了。
所以用的MAGNET AXIOM。
打开AXIOM Process,可以看到有个bitlocker加密的,暂时没密钥我们打不开,就别选。
选完后分析第一个分区,然后它会跳转AXIOM Examine,
然后给我卡出去了...
重启:
20240112
系统痕迹-1
data.zip
数据库分析-1
导出这个data.zip:
密码在另一个IOS镜像的备忘录:
Longxin@123
解码BitLocker磁盘,等它梭一会,真寄吧卡啊,我电脑风扇转的像要牢大起飞了,然后电脑卡爆了。
发现有个Foxmail7.2的软件,导出来运行:
根据提示 爆破掩码得到密码为:15566666555
然后解压data.zip。
后面的不想做了,看下面链接的wp吧。
手机备份包
手机基本信息-1
直接看log:
第一个就是。
日期是2024-01-15。
2024-01-15.14:19:44
手机基本信息-2
使用爱思助手打开,工具箱 => 备份\恢复数据 => 专业模式 => 应用列表:
1、2、5共3个。
手机基本信息-3
这里是手机的SIM卡活动。
用magnet AXIOM打开:
等它转到100%再看,不然总会出事。
直接搜ICCID:
89860320245121150689
手机基本信息-4
这里走了一个思路,去看短信的验证码:
20240115
地图数据-1
这个就需要通过工具ForensicsTool对其进行高德取证:
根据提示找到girf_sync.db的高德地图数据库文件,
然后直接去文件系统找:
下一个DB Browser for SQLite,然后查看:
天铂华庭
浏览器-1
Bookmarks.db
浏览器-2
拉萨
即时通讯-1
使用AXIOM 在文件系统中找到im5db文件导出,数据库打开查看
AppDomain-com.titashow.tangliao 小西米的包名,需要了解这个或者找绝对路径:
龙黑
即时通讯-2
从上面很容易看到1100。
1100
即时通讯-3
简易模式打开:
知识点:身份证号码是18位、倒数第2位奇数为男性、偶数为女性 通过这个我们去判断
最后2个身份证不全,所以就4个人分别为:张二、李四、江三、王也。
4
参考:
