随笔分类 - 电子取证
摘要:微信的加密方式实际上还是没有变,依旧是md5(imei+uin)[:7],不过这次是imei保存的位置变了,之前会保存在DENGTA_META.xml文件中,没有该文件则是默认的1234567890ABCDEF 更新后默认值不变,imei改为保存在KeyInfo.bin文件中,文件被加密 导出看一下
阅读全文
摘要:在进行网站分析时的一大重点就是如何登录到管理后台,这就需要我们去绕过/获取管理员的密码,在php、nodejs等站点中就很简单,我们只需要找到目标逻辑所在的代码,直接修改代码就可以实现目的。但是当我们遇到java类站点时,没有办法很轻松地修改代码,只能去分析密文的算法,从而自己生成对应的密文,接下来
阅读全文
摘要:这个我实际上弄了很久了,一开始更新的时候,发现数据库操作都是在so里,那时候是在libkernel.so里直接hook sqlcipher的密钥函数拿到的密钥,32位字符串,很容易让人联想到md5,但是没有找到在哪里计算的 最近又想着做一下,这时打开数据库的so就变了,这是easyFrida的sof
阅读全文
摘要:带大家过一遍如何分析常见java层的数据库加密密钥 确定数据库是否加密,找到数据库路径,对于有度这个样本,其数据库位于/data/data/im.xinda.youdu/files/youdu/db/路径下,该路径会存在1个或多个文件夹,用于存储不同用户的数据,其格式为buin_用户uin_user
阅读全文
摘要:easyFrida使用python运行 python easyFrida.py -h usage: easyFrida.py [-h] [-R] [-S S] [-f F | -p P] [--className CLASSNAME] [-l L] [--list] [-o] _____ _ _ _
阅读全文
摘要:碰到了使用com.orhanobut.hawk对sp进行加密的应用,分析一下除了动态调试外如何直接解密 逆向的难度比较大,而且由于涉及到facebook的加密库,导致反编译后代码很难看,好在项目是开源的hawk 看一下这个项目的代码,本质上用的facebook的加密库conceal 这是封装在最外层
阅读全文
摘要:最近各厂家先后突破Android12/13提权备份,很好奇,恰好又有资料可以找到,最后得知是CVE-2024-0044这一极易利用的漏洞导致的,由于国内手机很多都是厂商自己魔改的系统,而且很多系统的新版本实际上都是基于14甚至15的。对于没有升级的系统,大概率已经不更新补丁了,补丁更新后这一方式就失
阅读全文
摘要:最近接触到两个网站的重建,过程十分有趣,文字记录一下吧,虽然没有图片,但如果以后你也碰到类似的,应该能理解。 说明 两个网站是一起的,依赖的基本项目是一样的。 java项目,采用docker,多服务器,主从。 有连接rds等 网站采用验证码登录 重构环境要求断网环境 网站一 记录所有服务器的内网IP
阅读全文
摘要:0x1 获取了100以内的随机数 只需要确保输入的数为随机数的2倍+4即可 hook该方法,返回值随意,只要自己输入符合对该值的要求即可 Java.perform(function () { let MainActivity = Java.use("com.ad2001.frida0x1.MainA
阅读全文
摘要:从官方源编译的pycdc,直接反编译,可以看到存在不支持的字节码BEGIN_FINALLY(理论上遇到类似不支持的字节码,都可以这样处理) 参考issue307,处理一下 重新编译 这时候就可以成功反编译(当然有可能存在一些逻辑问题?不过这里的字节码是涉及异常处理的,对主要逻辑影响不大)
阅读全文
摘要:服务器取证 1.分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是:[答案格式:8888][★☆☆☆☆] 结果为8065 2.分析内部IM服务器检材,该内部IM平台使用的数据库版本是: [答案格式:12.34][★★☆☆☆] docker inspect 64,连接的是p
阅读全文
摘要:PanelForensics已经支持,快去基佬站下载吧 最近啊,fic中出现了宝塔,结果PanelForensics居然没有梭哈,这怎么行?? 于是我就一通分析,发现这个版本更新了架构,并且对密码的加解密是通过调用二进制依赖进行实现的 我这里就以mysql的密码为例,在新版本中,mysql的密码主要
阅读全文
摘要:手机 1.嫌疑人李某的手机型号是? /data/system/users/0/settings_global.xml 结果为MI 4LTE 2.嫌疑人李某是否可能有平板电脑设备,如有该设备型号是? /data/misc/wifi/WifiConfigStore.xml 结果为Xiaomi Pad 6
阅读全文
摘要:官方剪贴板插件已于5.1版本转为免费 本方式适用于对Windows系统的检材的uTools的官方剪贴板插件进行取证,需要仿真进行 首先,需要根据吾爱大神提供的方法,去掉uTools对app.asar的验证https://www.52pojie.cn/forum.php?mod=viewthread&
阅读全文
摘要:手机 1) 通过通话记录分析,去重后,嫌疑人一共主动联系过多少个号码?(答题格式:11)(1 分) /data/data/com.android.providers.contacts/contacts2.db,查询去重,拨出的type值为2 select count(DISTINCT(number)
阅读全文
摘要:初级一 小猫游戏,改一下判断 将t.LOSE的值改为win,然后将case i.LOSE的代码段删掉,重新签名安装即可 游戏结束会播放原神启动,播完会输出flag 结果为flag{happy_new_year_2024} 初级二 flag是跟着签名走的,所以没法重新编译 看代码可以看到是出金启动Fl
阅读全文
摘要:镜像素材选自美亚春苗集训营实训,由XiAnG提供 写在前面 首先是为什么要做成SSH连接的形式,主要是有以下原因 如果读取镜像,那么耗时非常久,且需要解决镜像读取、挂载、文件系统解析等问题,导致软件体积太大,不适于当前软件需求 如果读取文件,那么需要将指定的文件从镜像中导出,这与软件的初衷相悖,如果
阅读全文
摘要:1、IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12) 结果为2024-01-15.14:19:44 2、请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字) 结果为3 3、手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字) 结果为8986
阅读全文
摘要:1、检材一硬盘的MD5值为多少?(1分) 结果为80518BC0DBF3315F806E9EDF7EE13C12 2、检材一bitlocker的恢复密钥是多少?(5分) efdd跑内存 结果为585805-292292-462539-352495-691284-509212-527219-09594
阅读全文
摘要:一、手机题目 1.[填空题] 根据安卓手机镜像分析,手机序列号的后六位是什么:[答案格式:123456](1.5分) Manifest.mfa(很不喜欢pgs做的镜像) 或者/Basic/Adlockdown.json 结果为033105 2.[填空题] 根据安卓手机镜像分析,受害人是被哪个微信诈骗
阅读全文
浙公网安备 33010602011771号