2024年獬豸杯 电子取证

我使用的取证工具有取证大师，RStudioPortable，AXIOMv580，AXIOMv780根据自己情况来，多开几个一起看
题目镜像自取，解压密码：都考100分

签到

所以flag为：flag{We1c0me_t0_獬豸杯}

计算机

基本信息- 1、计算机系统的安装日期是什么时候。（标准格式：20240120）
系统痕迹- 1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）
数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)
数据库分析- 2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）
数据库分析- 3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）
数据库分析- 4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）
邮箱服务器- 1、请问邮箱服务器的登录密码是多少。（标准格式：admin）
邮箱服务器- 2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）
邮箱服务器- 3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）
邮箱服务器- 4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

基本信息- 1、计算机系统的安装日期是什么时候。（标准格式：20240120）

发现有个加密磁盘，待会再理会

2024-01-12 15:40:56
所以第一题答案为：20240112

系统痕迹- 1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）

猜测为data.zip

确实为data.zip
所以第二题答案为：data.zip

数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

发现一个data.zip，将其导出
打开类似于数据库的文件

导出zip需要密码
猜测密码应该在加密的磁盘里面
bitlocker密码在手机里的IOS镜像(另一个IOS镜像)

Longxin@123
解码BitLocker磁盘
发现有个Foxmail7.2的软件

导出Foxmail，得到

打开exe查看

在Storage目录看见待会见.jpg

在上面提示手机号为555结尾，手机号码开头一般为1
猜测应该为data.zip的密码，用掩码爆破

成功爆破15566666555
解出data.zip。

数据库分析- 1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)

用本地phpstudy搭建一个mysql，(先提前把自己的mysql的data备份好)

在MySQL配置文件my.ini的[mysqld]块下加入skip-grant-tables设置免密登录

将data文件夹替换
启动MySQL，用Navicat连接

成功连接
根据第一题，查询MySQL数据库 root用户最后一次更改密码的时间。命令我忘了，于是问chatgpt了
SELECT user, host, password_last_changed FROM mysql.user WHERE user = 'root';

所以第三题的答案为：2021-03-17 15:49:52

数据库分析- 2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

有5个表
所以第四题的答案为：5

数据库分析- 3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）

注意：需要在人员这个库中查询
SELECT SUM(salary) from salaries_list WHERE emp_no='204200';

所以第五题的答案为：488313

数据库分析- 4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）

通过查询
24.cnblogs.com/blog/3364147/202401/3364147-20240130135713761-977544297.png)
Finance对应d002
人员和部门的表在hiredate中

那么之后入职的人员应该为1999-01-01，使用count函数来统计人数
SELECT COUNT(*) as '统计' from hiredate where dept_no = 'd002' and from_date >= '1999-01-01';

所以第六题的答案为：1486

邮箱服务器- 1、请问邮箱服务器的登录密码是多少。（标准格式：admin）

在上面导出的foxmail

通过搜索可以使用工具foxmail_password_recovery，运行即可得到密码

所以第七题答案为900110

邮箱服务器- 2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）

一开始以为是这两个账号，发现看其他师傅说不对 于是重新找，在hMailServer/data里面看到longxin.com 里边有3个账号

所以第八题答案为：3

邮箱服务器- 3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）

邮箱服务器- 4、请问约定见面的地点在哪里。（标准格式：太阳路668号）

根据邮箱给的提示

猜测有个是有回复的邮件，于是查看已发送的邮件

发现有个待会见的jpg文件和明天下午四点
于是查看Storage目录下的待会见.jpg

在之前做的笔记修改jpg高度，ctrl+f搜索’FFC0’

改成08FF

得到图片
所以第十题答案为：中国路999号

手机

手机基本信息- 1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)
手机基本信息- 2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）
手机基本信息- 3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）
手机基本信息- 4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）
地图数据- 1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）
浏览器- 1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)
浏览器- 2、手机机主计划去哪里旅游。（标准格式：苏州）
即时通讯- 1、手机机主查询过那个人的身份信息。（标准格式：龙信）
即时通讯- 2、请问机主共转多少费用用于数据查询。（标准格式：1000）
即时通讯- 3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

手机基本信息- 1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)

根据题目所给的压缩包

猜测该时间为备份的时间

大差不差
所以第一题答案为：2024-01-15.14:19:44

手机基本信息- 2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）

通过查看应用程序

发现有陌陌，小西米，qq猜测应该就这3个通讯工具
所以第二题答案为：3

手机基本信息- 3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）

通过正则搜索ICCID

得到标识符：89860320245121150689
所以第三题答案为：89860320245121150689

手机基本信息- 4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）

通过上一题知道，小西米为.com.titashow.tangliao
那我们可以根据网络使用情况

看到了首次使用的时间为：2024/1/15 5:36:31.838
所以第四题的答案为：20240115

地图数据- 1、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）

在IOS镜像中，看到有高德地图的软件。可能地址就在里面
通过工具ForensicsTool对其进行高德取证(因为我没有申请火眼)
下载工具，根据提示找到girf_sync.db的高德地图数据库文件
使用命令：python ForensicsTool.py -m 1 -t 4 -f 目录\App\com.autonavi.amap\Documents\cloundSyncData\girf_sync.db


得到girf_sync_dec.db文件
启动数据库，导入文件

选择ROUTE_HISTORY_V2_SNAPSHOT表，看到天铂华庭

于是百度搜索了一下，确实有苏州天铂华庭

所以第五题答案为：天铂华庭

浏览器- 1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)

在取证大师看到有SyBase SQL Anywhere数据库文件

有很多.db后缀的数据库文件
但是不知道Safari的后缀

于是在Axiom的Safari书签看到BookmarksBar
刚好数据库有这个名称的后缀

所以第六题答案为：Bookmarks.db

浏览器- 2、手机机主计划去哪里旅游。（标准格式：苏州）

通过Web相关的标签

猜测应该为拉萨
所以第七题的答案为：拉萨

即时通讯- 1、手机机主查询过那个人的身份信息。（标准格式：龙信）

在取证大师看到一张查询的图片

(这道题我的工具不行，通过查看别人的wp是通过这个电话号码17712680573然后正则匹配到一个叫im5db的数据库，即小西米的聊天数据库)


Axiom获取不到

取证大师也一样

在取证大师中im5db没有成功识别到为MySQL文件。
后面在别人的wp知道了小西米的聊天数据库路径为

所有证据\PhysicalDrive0\Partition 1 (Microsoft NTFS, 931.51 GB) 办公 [E__]\
baiduwangpan_xiazai_2024-獬豸杯_2024年01月15日_14时19分44秒_iPhone\38eb9848d19c02cab32ca7c125c5e834f298c416\
AppDomain-com.titashow.tangliao\Documents\IM5_CN\
9031bc3c805ac5e55ecaa151092c2c4b\IM5_storage\1407383114858132610

得到im5db的数据库，通过db browser for sqlite查看数据库文件，下载自取。
左上角选择打开数据库导入，然后选择message表

看到里边的内容为上面那图片的客服回复内容

所以第八题的答案为：龙黑

即时通讯- 2、请问机主共转多少费用用于数据查询。（标准格式：1000）

通过第八题最后的图片可知，
所以第九题答案为：1100

即时通讯- 3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）

在Axiom的通信选项中，发现短信有个人信息

于是在取证大师找一下该照片

通过查询，身份证排列顺序从左至右依次为: 六位数字地址码，八位数字出生日期码，三位数字顺序码和一位数字校验码。 中国大陆居民身份证第十七位数字表示性别:奇数表示男性，偶数表示女性。
然后整理了一下，里边有4个，有2个身份证不全
所以第十题答案为：4

APK分析

这个内容的题没接触过，看着wp写。用的工具有GDA4.10和jadx-gui-1.4.7，自取

 1、APP包名是多少。（标准格式：com.xxx.xxx）
 2、apk的主函数名是多少。（标准格式：comlongxin）
 3、apk的签名算法是什么。（标准格式：xxx）
 4、apk的应用版本是多少。（标准格式：1.2）
 5、请判断该apk是否需要联网。（标准格式：是/否）
 6、APK回传地址？（标准格式：127.0.0.1:12345）
 7、APK回传数据文件名称是什么。（标准格式：1.txt）
 8、APK回传数据加密密码是多少。（标准格式：admin）
 9、APK发送回后台服务器的数据包含以下哪些内容？（多选）
	A．手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表

1、APP包名是多少。（标准格式：com.xxx.xxx）

用GDA分析得到

所以第一题答案为：com.example.readeveryday

2、apk的主函数名是多少。（标准格式：comlongxin）

通过图片可知
所以第二题答案为：StartShow

3、apk的签名算法是什么。（标准格式：xxx）

签名在jadx.gui可以看到

所以第三题答案为：SHA1withRSA

4、apk的应用版本是多少。（标准格式：1.2）

在AndroidManifest-GDAXML可以看到

所以第四题答案为：1.0

5、请判断该apk是否需要联网。（标准格式：是/否）

在jadx.gui看见StartShow需要联网的操作

所以第五题答案为：是

6、APK回传地址？（标准格式：127.0.0.1:12345）

在jadx中看MainActivity，

所以第六题的答案为：10.0.102.135:8888

7、APK回传数据文件名称是什么。（标准格式：1.txt）

根据第六题，下面有个返回的压缩包

所以第七题答案为：Readdata.zip

8、APK回传数据加密密码是多少。（标准格式：admin）

还是继续在MainActivity寻找

所以第八题答案为：19_08.05r

9、APK发送回后台服务器的数据包含以下哪些内容？（多选）

A．手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表

通过在MainActivity看见几个关键词

contact翻译过来为联系，app不用说应该是应用程序，sms为电话卡了
所以第九题答案为：ABE
好像apk可以在模拟器尝试，我偷懒了 就没去弄。。！