第一届“龙信杯”电子数据取证竞赛Writeup

检材链接：https://pan.baidu.com/s/1ITyZI5uZHrvF7ara0JRNzQ?pwd=8a0z 容器密码：RLEQc2Xe65Q5GiCuRNMFrw==

案情简介

2023年9月，某公安机关指挥中心接受害人报案：通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。
公安机关接警后，通过技术手段抓取了一段流量包，且通过公安机关的侦查与分析，锁定了该诈骗团伙的业务窝点，具了解，该团伙成员通过Telegram 联系ETH币商收币，双方在线上确定好了交易时间和交易金额（交易额为300万人民币），并先由卖币方转0.5个ETH到买币方钱包。双方人员碰头后，商定分两笔交易交割，第一笔交易价值100万的虚拟货币、第二笔交易价值200万的虚拟货币。第一笔100万的币从卖币方的地址转到中转地址（由中间人控制），再由中转地址转到买币方提供的收币地址，买币方收到币后将带来的100万现金给卖币方清点，第一笔交易完成。 犯罪分子开始第二笔交易时，被警方当场截获。并将相关嫌疑人抓获，扣押安卓手机1部，笔记本电脑1台，调证服务器2台，以上检材以分别制作了镜像。检材清单见附件。请结合案情，对上述检材进行勘验与分析，完成以下题目。

移动终端取证

1.请分析涉案手机的设备标识是_______。（标准格式：12345678）

软件直接出

2.请确认嫌疑人首次安装目标APP的安装时间是______。（标准格式：2023-09-13.11:32:23）

找到目标app


这边看不出

3.此检材共连接过______个WiFi。（标准格式：1）

6个wifi

4.嫌疑人手机短信记录中未读的短信共有______条。（标准格式：12）

筛选未读，共有17条

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。（标准格式：http://www.baidu.com/admin/index.html）

http://m.ziyuanhu.com/pics/1725.html
查看下载缓存

6.请分析涉案海报的推广ID是________。（标准格式：123456）

查看缓存照片

推广ID应该是嫌疑人后期修改，去相册中查找相似图片

找到114092

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

1个号码无效

8.通过分析，嫌疑人推送的微信账号是______。（标准格式：Lx20230916）

有点阴，看全
Gq20221101

9.请校验嫌疑人使用的“变声器”APK的包名是________。（标准格式：com.baidu.com）

com.chuci.voice

10.号商的联系人注册APP的ID是_________。（标准格式：12345678）

36991915

11.嫌疑人于2022年11月份在_______城市。（标准格式：成都）

这张图片是关键点，导出，火眼看不出经纬度

12.嫌疑人共购买_______个QQ号。（标准格式：1）

8个

APK取证

1.分析手机镜像，导出涉案apk，此apk的md5值是________。（标准格式：abc123）

apk刚刚已经找到，直接进行分析


d56e1574c1e48375256510c58c2e92e5

2.分析该apk，apk的包名是________。（标准格式：com.qqj.123）

lx.tiantian.com

3.分析该apk，app的内部版本号是__________。（标准格式：1.1）

1.0

4.分析该apk，请问该apk最高支持运行的安卓版本是_______。（标准格式：11）

manifest看到的sdk版本32，对应Android12

5.分析该apk，app的主函数入口是_________。（标准格式：com.qqj.123.MainActivity）

lx.tiantian.com.activity.MainActivity

6.分析该apk，请问窃取短信的权限名称是________。（标准格式：android.permission.NETWORK）

读取短信
android.permission.READ_SMS

7.APP使用的OPPO的appkey值是________。（标准格式：AB-12345678）

OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码，该APK后台地址是________。（标准格式：com.qqj.123）

http://app.goyasha.com/
app.goyasha.com

9.分析apk源码，APP 后台地址登录的盐值是_______。（标准格式：123abc=%$&）

73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

10.分析apk源码，该APK后台地址登录密码是______。（标准格式：longxin123）

搜一下admin，login，password这种关键词

lxtiantiancom

11.对 APP 安装包进行分析，该 APP打包平台调证值是______。（标准格式：HER45678）

H5D9D11EA

12.此apk抓包获取到的可访问网站域名IP地址是_______。（标准格式：192.168.1.1）

抓包失败，看下源码

192.168.5.80

13.分析apk源码，该apk的加密方式key值是________。（标准格式：12345678）

ade4b1f8a9e6b666

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

可以直接搜下龙信公司电话
4008522366
当然还有方法，得与PC结合
private static final String ivParameter = "ade4b1f8a4834888";
private static final String sKey = "ade4b1f8a9e6b666";

介质取证

1.对PC镜像分析，请确定涉案电脑的开机密码是_______。（标准格式：123456）

Longxin360004

2.涉案计算机最后一次正常关机时间_______。（标准格式：2023-1-11.11:11:11）

2023-09-16 18:20:34

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为_______。（标准格式：1小时1分1秒）

累计出来即可

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

是的

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

有密钥，直接解

解开E盘


TWltaTEyMzQ=
一眼base64，解码得到Mimi1234

6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

直接搜工资，得到工资条


10月25532元
同一路径下有一个压缩包，导出文件，解压
密码直接输上题

里面还有一个excel

19821
这个有冲突，我们看下来源，是wx，我们发现需要一个密钥

仿真出来的E盘发现密钥

好像只有取证大师可以密钥对处理
最终答案是后者

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是______。（标准格式：Longxin0924）

Longxin@2023

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

推广ID：114092
全局搜索


与ID114092对的上，给了两个海报路径

在仿真中找到2.png和1.png


内容是一样的，2.png的末尾有数字，应该是第十题的银行卡号

应该是2.png
C:\Program Files (x86)\Tencent\WeChat\2.png

9.请找出嫌疑人的2022年收入共_______。（标准格式：123）

刚刚在E盘找到一个容器
将2.png作为一个密钥文件进行解密，选择TC模式



结合apk中aes密码与偏移得出之前题目中公司号码
此时还没找到总收入，于是用取证大师分析一下打开的容器
恢复数据后，找到2022年总收入

205673

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

6320005020052013476
见第8题

虚拟币分析

1.分析涉案计算机，正确填写中转地址当前的代币种类______。（标准格式：BNB）

前面的容器里还有个夜神模拟器的备份 111.npbk

这个备份文件本质是个zip，改一下后缀解压就能把vmdk解出来扔取证软件里分析了



ETH

2.分析涉案计算机，正确填写中转地址当前的代币余额数量_______。（标准格式：1.23）

将
111.nbpk夜神模拟器备份导入

4.4981
过一会就没数据了，如果来不及截图，最好办法是断网重连

3.根据中转地址转账记录找出买币方地址。买币方地址：_____（标准格式：0x123ABC)

有三次转账记录
0x63AA203086938f82380A6A3521cCBf9c56d111eA

4.根据中转地址转账记录统计买方地址转账金额。转账金额：____ ETH.（标准格式:12.3）

如上题

150.5

5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

A.raw sausage art hub inspire dizzy funny exile local middle shed primary
B.raw sausage art hub inspire dizzy funny middle shed primary
C.raw sausage art funny exile local middle shed primary

A

看个数即可

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

0x63AA203086938f82380A6A3521cCBf9c56d111eA
添加钱包，增加助记词
导入得到

流量分析

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A.DDoS攻击
B.DoS攻击
C.SQL注入
D.文档攻击

在数据包1中，进行统计-会话中可以看到有明显大量的流量从120.210.129.29发送到10.5.0.19
筛选出源ip为120.210.129.29的流量，发现到后面很多发送失败的数据包

发现很多失败的包，B.
DDOS攻击

2.分析“数据包1.cap”，出问题的服务器IP地址是_______。（格式：127.0.0.1）

如上题分析
10.5.0.19

3.分析“数据包1.cap”，文件下发服务器的IP地址是_______。（标准格式：127.0.0.1）

点击导出对象http，按大小降序排列，得到java.log,

所以是120.210.219.29

4.分析“数据包1.cap”，攻击者利用_______漏洞进行远程代码执行。（标准格式：XXX）

在上传文件中进行追踪TCP流

能在1896找到关键信息

struts2

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为_______。(标准格式:abcd)

导出上面找到java.log的数据包
放入云沙箱中进行处理
87540c645d003e6eebf1102e6f904197

6.分析“数据包2.cap”，其获取文件的路径是________。（标准格式：D:/X/X/1.txt）

/C:/Users/Administrator/Downloads/新建文件夹/新建文件夹

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是_______。（标准格式：123）

从tcp 0 开始追踪流

Unauthorized
继续分析，找到成功认证的

8.分析“数据包2.cap”，其下载的文件名大小有________字节。（标准格式：123）

导出

212625

服务器取证1

1.服务器系统的版本号是_______。(格式:1.1.1111)

7.9.2009

2.网站数据库的版本号是_______。(格式:1.1.1111)

5.6.50

3.宝塔面板的“超时”时间是_______分钟。(格式:50)

仿真镜像


清楚限制，改用户名改密码，访问面板

7200

4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)

在backup中找到备份文件


0BDEEACF755126DAE9EFD38F6A6D70323AA95217B629FD389E0E81F9B406BE39

5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)

找到网站根目录

找到管理员路径，查看配置文件，找到加盐过程，对得到字符串进行md5加密

lshi4AsSUrUOwWV

注意要小写
7f5918fe56f4a01d8b206f6a8aee40f2

网站重构

开启宝塔面板，如果很卡顿，可以使用下面命令试下
sudo vim /etc/nsswitch.conf

# 找到
# host: files mdns4_minimal [NOTFOUND=return] dns
# 改为
host: files

sudo vim /etc/ssh/sshd_config

# 找到
# UseDNS yes
# 改为
UseDNS no

sudo vim /etc/ssh/sshd_config

# 找到
# GSSAPIAuthentication yes
# 改为
GASSAPIAuthentication no

6.分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。（标准格式:1234）

接下来进行网站重构
直接访问会出错

更改'show_error_msg' => True,读取一下哪里有问题

得到报错回显

更改服务器地址

发现新的报错

提示mysql密码错了，直接绕过密码登录，基本操作/etc/my.cnf加个skip-grant-table字段，service mysql restart重启一下mysql服务


成功重构

到后台登录界面，一般两种方法实现：一是更改数据库密码、二是更改登录逻辑
第一种用ssh隧道连接数据库


更改数据库admin密码为123456
注意刚刚找到的盐值
md5(md5($password) . md5($password_code))
e10adc3949ba59abbe56e057f20f883e
7f5918fe56f4a01d8b206f6a8aee40f2

9eb2b9ad495a75f80f9cf67ed08bbaae

成功进入

第二种
下载源码，放入notepad工作区，搜索相关 密码等字段



改为==
然后随便输一个密码,成功

接下来去找通讯录数据
67097

7.全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)

单表要去重，三个表之间不去重
在宝塔面板上可以看到服务器1上的网站是wiiudot.com、sb.wiiudot.com和tf.chongwuxiaoyouxi.com
连接相应数据库查看
wiiudot.com有两个版本，看下宝塔，发现对应0731

找到对应数据库app_mobile


182

sb.wiiudot.com

267

tf.chongwuxiaoyouxi.com
找到数据库为


57

总和
506

8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)

复现tf.chongwuxiaoyouxi.com网站
如上重现所示，改数据库ip、登录逻辑
提示连接已断开

tf还要多配个伪静态，把sb的伪静态直接贴过来就行，都是一个框架的

成功到后台登录界面



26个

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)

网站直接找不到，只能看数据库
在app_admin和app_appconfig两张表里

141

443074

10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)

有坑database.php里的密码是错的
备份文件里的database的密码是对的
owJIRfjs12qgSu2
KE5f3xnFHYAnG5Dt



对应上，所以是
KE5f3xnFHYAnG5Dt

服务器取证2

1.请分析宝塔面板中默认建站目录是_______。（标准格式：/etc/www）

去宝塔里面看

修改密码加登录，虽然没有内网地址，但可以直接替换

得到/home/wwwroot

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是_______。（标准格式：int(11)）

找到两个，但是另一个只有5个字段

找到数据库账号密码

登录宝塔phpmyAdmin

char（128）

3.请分析“乐享金融”网站绑定的域名是_______。（标准格式：www.baidu.com）

jinrong.goyasha.com

4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是_______。（标准格式：abcdefghijklmnopqrstuvwsyz）

找一下密码加密逻辑，就是拼接明文密码和utime之后md5，utime是在第一次添加该用户的时候的时间戳写死的
找到登录逻辑

$result['upwd']==md5($data['password'].$result['utime']
去找一下utime

数据库翻一下，userinfo表里找到utime

1635837124
1234561635837124

关于网站重构

5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是_______。（标准格式：爱金融）

这里留个坑，运行目录是/public

但是可以发现public下面index.php和route.php都没
无法直接重构，那么直接看源码
找到可疑的图片文件


所以是睿文化

6.请分析“乐享金融”一共添加了_______个非外汇产品。（标准格式：5）

查看数据库文件
wp_productclass表里看到外汇编号pcid 5

wp_productdata表和wp_productinfo表里都可以看到外汇产品

4个外汇产品被删了2个，所以是2

7.请分析“乐享金融”设置充值泰达币的地址是_______。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

wp_rcset表里直接看

85CF33F97B46A88C7386286D0270CB3E

8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。（标准格式：12345678）

同样直接看数据库
充值记录在wp_price_log表内

SELECT uid, SUM(account) as summary
FROM `wp_price_log`
WHERE title LIKE "%充值%"
GROUP BY uid
HAVING summary > 582402
ORDER BY summary DESC;

得到101000087

9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。（标准格式：张三）

这里有个张教瘦，但是是真名，不一定是用户名，用uid=2917去看

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是_______。（标准格式：1888.668）

在wq_order找到关键信息

先将时间转成时间戳，


建仓时间和平仓时间分别为1646131441和1646131921

SELECT sellprice FROM `wp_order` WHERE buytime=1646131441 AND selltime=1646131921   

2896.924000

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。（标准格式：2022-1-11.1:22:43）

SELECT * FROM `wp_order` WHERE orderno = 202112090946233262

直接查不到
所以想到去找备份文件
该数据库有备份文件，下载

导入后找到

进行时间戳转化

2021-12-09 09:52:23

12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

A.Windows 8.1
B.Windows 10
C.Windows 11
D.Windows Server 2000

查看日志
宝塔面板的访问日志在/www/server/panel/logs/request目录下

全是压缩包，解压命令gzip -d FileName.gz
在7.23


Windows NT 6.3
A

13.请分析该服务器镜像最高权限“root”账户的密码是_______。（标准格式：a123456）

参考https://www.ctfiot.com/137093.html

本文链接：