“ 相比于初赛的43个题,半决赛只有15个,难度和初赛总体相差不大,但是这个“答案格式”真抽象,比赛很多时间都在纠结如何填写答案,没想到还可以有做出题目但是不会填答案的情况,还是好好复盘一下本次比赛吧。”
带*号的是错题,本文中的思路和答案仅代表个人观点,正确答案待公布,以主办方的答案为准,如有错误之处请大佬不吝赐教
检材链接:https://pan.baidu.com/s/1RsF5qluBJhOf7o6HZwR54Q?pwd=ivsz容器密码:2023@QAX#LMB*PGS-9.16
01
—
案情
2023年初,某地公安机关抓获一个网络诈骗技术嫌疑人,公安机关在扣押嫌疑人后,对嫌疑人手机进行数据提取,在提取完成分析发现嫌疑人将通话记录及短信记录进行了删除,根据嫌疑人交代,其在删除通话及短信记录前使用过同伙编写的测试软件,该安卓程序会读取通话及短信记录并存放到手机中。由于通话和短信记录对案件很重要,请参赛队员分析手机镜像及对应apk,完成取证题目。
02
—
赛题
1、检材数据开始提取是今年什么时候?(答案格式:04-12 13:26)
09-11 17:21在检材解压后的logs.log中看
2、嫌疑人手机SD卡存储空间一共多少GB?(答案格式:22.5)
24.32同样在logs.log
3、嫌疑人手机设备名称是?(答案格式:adfer)
sailfish
4、嫌疑人手机IMEI是?(答案格式:3843487568726387)
352531082716257
5、嫌疑人手机通讯录数据存放在哪个数据库文件中?(答案格式:call.db)
contacts.db
*6、嫌疑人手机一共使用过多少个应用?(答案格式:22)
100我的想法是在应用日志中看有最后使用时间的
导出为Excel表格
一共100条有最后使用时间的
这题正确解法还请大佬们指点
7、测试apk的包名是?(答案格式:con.tencent.com)
com.example.myapplication应用列表应用太多,可以先按包名排序,先略过com.android和com.google开头的
找到My Application,找到apk
*8、测试apk的签名算法是?(答案格式:AES250)
SHA256弘连雷电APP智能分析
不知道官方的标准答案到底是哪个,答案格式也存在误导
*9、测试apk的主入口是?(答案格式:com.tmp.mainactivity)
com.example.myapplication.mainactivity
看着题目的答案格式全小写了,100分丢了
10、测试apk一共申请了几个权限?(答案格式:7)
3
11、测试apk对Calllog.txt文件内的数据进行了什么加密?(答案格式:DES)
BASE64jadx搜calllog.txt
base64加密
12、10086对嫌疑人拨打过几次电话?(答案格式:5)
2找到calllog.txt
导出对其中内容进行base64解码,10086有两次呼进
13、测试apk对短信记录进行了几次加密?(答案格式:5)
2AES+base64
*14、测试apk对短信记录进行加密的秘钥是?(答案格式:slkdjlfslskdnln)
bglqdwjkewhmdxjp本来是想hook出key值的,但是模拟器中没有短信APP
貌似是一个静态的值,apk解包后ida64分析lib中的so文件
在字符串中找到Getkey
G分析代码可以看到对first进行了转换
找到first:lijubdyhfurindhcbxdw
在这里进行了base64编码
得到bGlqdWJkeWhmdXJpbmRoY2J4ZHc=
拿这个key去解密SMS.txt中的内容
https://www.mklab.cn/utils/aes
AES密钥应该是16位,截取16位得到bGlqdWJkeWhmdXJp
这里又被答案格式给误导了,200分丢了
15、嫌疑人在2021年登录支付宝的验证码是?(答案格式:3464)
9250在解密出的短信内容中可以看到
03
—
总结
总体上题目都做出来了,有时候自己想得太多反而会想错,好多时间都用来纠结了,心累
点点关注不迷路
喜欢的看官还请多多点赞收藏
原文始发于微信公众号(XiAnG学安全):2023第七届蓝帽杯全国大学生网络安全技能大赛半决赛电子取证参考wp
