随笔分类 - 电子取证
摘要:任务 1:检材 1.rar 上的任务(14 分) 检材是一个手机备份,请通过技术手段提取以下信息。 1. 提取名称为“陈伦国”的联系人的手机号码,以此作为 flag 提交。(答案格式如:13012345678)(2 分) 小米的通讯录备份 结果为13800620796 2. 提取最早卸载的软件的包名
阅读全文
摘要:WXjzcccc/iTunesBackupTransfer: iTunes备份解析 (github.com) 数据源是23美亚团体赛的加密备份,请大家多多测试 可以正常解密 解密部分参考了两个仓库 https://github.com/jfarley248/iTunes_Backup_Reader
阅读全文
摘要:iTunesBackupTransfer 目前还不支持加密备份转换,手头没有素材,后面再说吧。。。 找软件是一个麻烦事,一搜大把的都是商业软件,要么就去找破解版,要么就硬搞试用,还是写一个吧。手里有加密备份素材的可以联系我。
阅读全文
摘要:本项目旨在让各公司出题别再问关于面板的任何问题!!!!(尤其是比武) 通过前期的分析和逆向,目前支持宝塔面板、小皮面板和1Panel,每种面板仅测试了一个服务器,如遇问题请提issue!! 戳我下载👉WXjzcccc/PanelForensics: Linux面板取证一把梭 (github.com
阅读全文
摘要:最近着手面板一把梭,在分析小皮的时候比较耗费时间,简单记录一下 小皮面板安装目录/usr/local/phpstudy/ 在这个目录下只能找到一个安装结果信息install.result,找不到其他数据 分析源码发现,不论是何请求,它都要发送到127.0.0.1:8090去处理 使用的是这个程序,发
阅读全文
摘要:这次检材给的很不合理,许多重复检材,流量包我就没用到,而且我还有题没有解出来,估计就得用流量包。 附加资料完全不用给,他浏览器里都有对应地址的访问记录,直接通过那些地址一步步推过去就可以做出了,给那么多截图,就没有虚拟币取证的意义了,和龙信有的一拼。 检材弄那么大,题目还没啥意思。。。 没做出来的随
阅读全文
摘要:避免11月断更,发个存货 日志分析部分 1.请分析苹果手机导出日志,airdrop所使用的扫描模式(Scanning mode)为? 启一个macos13以上的虚拟机,然后把日志system_logs.logarchive拖进去,访达中双击日志文件就可以查看日志了 搜索Scanning mode 结
阅读全文
摘要:遇到一个出千APP,360加固,带环境检测,伪装成电话APP,分析一下 脱壳 先查壳,360加固 先安装到模拟器,这里我用的是雷电9,其他的不一定行,反正vmos是会报错的,root真机里xposed环境用了太多模块,内存抽个dex一抽抽几百个,能不用就不用 打开会带一个环境检测,然后应用自动退出,
阅读全文
摘要:起因是在盘古石决赛时,有一个手机取证的APP是基于野火IM进行的开发。当时未按照正常方式解出,没找出数据库密钥。 后续又在以前的某一次全国比武中发现了野火IM的考点,直接问密码如何来。 当时使用frida来做,但是发现要处理多进程,就暂时搁置了。 近期看到弘连的取证实录中详细介绍了如何获取密钥,参考
阅读全文
摘要:声明 本文中提及的方式仅是为了便于服务器取证的研究,仅适用于无法出网的真实取证鉴定情况。 请不要在生产环境随意修改宝塔服务的任何文件! 分析 目前,宝塔面板已经强制要求绑定手机号。这给取证工作带来很大的不便,尤其是在实际工作中,服务器是不可以连接互联网的,因此必须解决掉这个问题。好在我们知道,宝塔面
阅读全文
摘要:感谢toto与d3f4u1t 手机取证 1.请分析涉案手机的设备标识是___。(标准格式:12345678) 实际是tar包,加个后缀给xways就能以压缩包识别了,右击浏览即可 根据应用目录可以看出是小米手机,不过这个设备标识我还是第一次听说,不应该是序列号?不会是没提出表示就默认把序列号当标识吧
阅读全文
摘要:很简单的难度,作为半决赛来讲。。不好说 1.检材开始提取是今年什么时候? 克隆目录取证日志,logs.log 结果为09-11 17:21 2.嫌疑人手机SD卡存储空间一共多少GB? 结果为24.32 3.嫌疑人手机设备名称是? 结果为sailfish 4.嫌疑人手机IMEI是? /Basic/Ad
阅读全文
摘要:找其他师傅要了附件,玩一玩,水一水 hard_web_1 统计会话,60字节的为连接失败 结果为80;888;8888 hard_web_2 分析流量包,找到shell.jsp中的java代码 很明显的哥斯拉jspshell,可以自己生成一个对比看看 String xc = "748007e8619
阅读全文
摘要:MISC ez_Forensics filescan桌面有若干文件,readme.txt提示明文攻击,但是此时的readme.txt和压缩包中的文件的crc校验值不同 editbox还原出readme的内容,crc校验通过 进行明文攻击,7z压缩,得到3段解密密钥 解压得到table,实际是png,
阅读全文
摘要:# 软件介绍 [EncFSMP](https://github.com/rhiestan/EncFSMP) 这个工具可以帮助生成一个加密容器,并挂载磁盘。 相比于VC、TC,它的优势是不需要指定虚拟磁盘的大小。相反的,它要求的是一个文件夹,在文件夹中生成一个xml配置文件,虚拟磁盘中的文件会以加密后
阅读全文
摘要:> 审核完成啦,现在在取证大师里面搜索“Navicat会话解析”就可以安装小程序啦! 美亚审核也太慢了。。干脆先发出来得了 一个简单的Navicat保存的会话解析小程序,数据从注册表当中提取,可以解决之前同类型分析工具需要`ncx`文件的痛点。 对大佬的java脚本重构了半天,上传后发现早有人发了p
阅读全文
摘要:流量分析 1.计算流量包文件的SHA256值是?[答案:字母小写][★☆☆☆☆] 结果为2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9 2.流量包长度在“640-1279”之间的的数据包总共有多少?[答案:100][★
阅读全文
摘要:其实有蛮多不确定的,欢迎讨论 Android程序分析 1.涉案应用刷刷樂的签名序列号是(答案格式:123ca12a)(★☆☆☆☆) GDA直接查看 结果为11fcf899 2.涉案应用刷刷樂是否包含读取短信权限(答案格式:是/否)(★★☆☆☆) GDA直接查看 结果为否 3.涉案应用刷刷樂打包封装的
阅读全文
摘要:这是一次网站重构实战,脱敏后发一下水水 部署服务分析 通过分析数据盘的目录结构,发现与宝塔面板的目录结构高度相似 分析数据盘上次的挂载位置,发现挂载系统盘的/www目录下 进入数据盘的/server/panel目录下,发现BT-Panel、BT-Task、default.pl等关键特征文件,以此确定
阅读全文
摘要:仿真+x-ways手撸,浅浅水一篇~~ 一、请检查窝点中的手机检材,回答以下问题 1、该OPPO手机的IMEI是: 位于文件OppoBackup/Basic/Adlockdown.json中 结果为860370049389014,860370049389006 2、该涉案人所使用的的微信ID和关联的
阅读全文
浙公网安备 33010602011771号