摘要:
这次检材给的很不合理,许多重复检材,流量包我就没用到,而且我还有题没有解出来,估计就得用流量包。 附加资料完全不用给,他浏览器里都有对应地址的访问记录,直接通过那些地址一步步推过去就可以做出了,给那么多截图,就没有虚拟币取证的意义了,和龙信有的一拼。 检材弄那么大,题目还没啥意思。。。 没做出来的随 阅读全文
摘要:
遇到一个出千APP,360加固,带环境检测,伪装成电话APP,分析一下 脱壳 先查壳,360加固 先安装到模拟器,这里我用的是雷电9,其他的不一定行,反正vmos是会报错的,root真机里xposed环境用了太多模块,内存抽个dex一抽抽几百个,能不用就不用 打开会带一个环境检测,然后应用自动退出, 阅读全文
摘要:
起因是在盘古石决赛时,有一个手机取证的APP是基于野火IM进行的开发。当时未按照正常方式解出,没找出数据库密钥。 后续又在以前的某一次全国比武中发现了野火IM的考点,直接问密码如何来。 当时使用frida来做,但是发现要处理多进程,就暂时搁置了。 近期看到弘连的取证实录中详细介绍了如何获取密钥,参考 阅读全文
摘要:
声明 本文中提及的方式仅是为了便于服务器取证的研究,仅适用于无法出网的真实取证鉴定情况。 请不要在生产环境随意修改宝塔服务的任何文件! 分析 目前,宝塔面板已经强制要求绑定手机号。这给取证工作带来很大的不便,尤其是在实际工作中,服务器是不可以连接互联网的,因此必须解决掉这个问题。好在我们知道,宝塔面 阅读全文
摘要:
感谢toto与d3f4u1t 手机取证 1.请分析涉案手机的设备标识是___。(标准格式:12345678) 实际是tar包,加个后缀给xways就能以压缩包识别了,右击浏览即可 根据应用目录可以看出是小米手机,不过这个设备标识我还是第一次听说,不应该是序列号?不会是没提出表示就默认把序列号当标识吧 阅读全文
摘要:
很简单的难度,作为半决赛来讲。。不好说 1.检材开始提取是今年什么时候? 克隆目录取证日志,logs.log 结果为09-11 17:21 2.嫌疑人手机SD卡存储空间一共多少GB? 结果为24.32 3.嫌疑人手机设备名称是? 结果为sailfish 4.嫌疑人手机IMEI是? /Basic/Ad 阅读全文
摘要:
找其他师傅要了附件,玩一玩,水一水 hard_web_1 统计会话,60字节的为连接失败 结果为80;888;8888 hard_web_2 分析流量包,找到shell.jsp中的java代码 很明显的哥斯拉jspshell,可以自己生成一个对比看看 String xc = "748007e8619 阅读全文
摘要:
MISC ez_Forensics filescan桌面有若干文件,readme.txt提示明文攻击,但是此时的readme.txt和压缩包中的文件的crc校验值不同 editbox还原出readme的内容,crc校验通过 进行明文攻击,7z压缩,得到3段解密密钥 解压得到table,实际是png, 阅读全文
摘要:
# 软件介绍 [EncFSMP](https://github.com/rhiestan/EncFSMP) 这个工具可以帮助生成一个加密容器,并挂载磁盘。 相比于VC、TC,它的优势是不需要指定虚拟磁盘的大小。相反的,它要求的是一个文件夹,在文件夹中生成一个xml配置文件,虚拟磁盘中的文件会以加密后 阅读全文