2024盘古石取证比赛(APK)

题目列表

使用软件:
Notepad++,火眼证据分析软件,雷电分析app,DB browser for SQLCipher

1. 分析伏季雅的手机检材,手机中诈骗APP的包名是:[答案格式:abc.abc.abc,区分大小写][★☆☆☆☆]

image

w2a.W2Ah5.jsgjzfx.org.cn

2. 分析伏季雅的手机检材,手机中诈骗APP连接的服务器地址是:[答案格式:127.0.0.1][★☆☆☆☆]

方法1:
服务器题目里有网站IP,web服务器进宝塔可以看到
image
方法2:
用雷电智能分析app———服务器题目里的web服务器有数据库文件,可以找到威尼斯账号密码登录root
image
image

192.168.137.125

3. 分析伏季雅的手机检材,手机中诈骗APP的打包ID是:[答案格式:_abc_abc.abc,区分大小写][★☆☆☆☆]

报告里有
image
软件也可以看
image

__W2A__h5.jsgjzfx.org.cn

4. 分析伏季雅的手机检材,手机中诈骗APP的主启动项是:[答案格式:abc.abc.abc,区分大小写][★☆☆☆☆]

image

io.dcloud.PandoraEntry

5. 分析义言的手机检材,分析团队内部使用的即时通讯软件,该软件连接服务器的地址是:[答案格式:127.0.0.1][★★☆☆☆]

方法1:
服务器里可以直接用ifconfig找到ens33网卡:192.168.137.97——我做服务器的时候,IP显示有点问题
方法2:
服务器题目里有用navicat连过postgrepsql数据库(IM里的docker容器)
也可以把postgrepsql数据库文件导出放DB browser里看
image

192.168.137.97

6. 接上题,该软件存储聊天信息的数据库文件名称是:[答案格式:abc.abc,区分大小写][★★☆☆☆]

image

aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

7. 接上题,该即时通讯软件中,团队内部沟通群中,一共有多少个用户:[答案格式:1][★★☆☆☆]

导出数据库到DB browser
image
image

6

8. 接上题,该即时通讯应用的版本号是:[答案格式:1.1.1][★★☆☆☆]

image

2.15.0

9. 接上题,该即时通讯应用中,团队内部沟通中曾发送了一个视频文件,该视频文件发送者的用户名是:[答案格式:abc][★★★★☆]

通过MP4定位post_id
image
通过post_id到post表里找user_id
image
通过user_id到post表里找用户名
image
image

yiyan

10. 接上题,分析该即时通讯的聊天记录,团队购买了一个高性能显卡,该显卡的显存大小是:[答案格式:20G][★★☆☆☆]

post表里放的是mattermost不同群聊的聊天记录
在post表有看到4090显卡相关信息
image
下面找到了购买链接
image
image
image

24G

11. 分析义言的手机检材,手机中装有一个具备隐藏功能的APP,该APP启动设置了密码,设置的密码长度是多少位:[答案格式:5][★★★★☆]

找到隐藏app有两个方法:1.分析app异常用电量 2.分析app异常名称
盘古石软件查看用电量
image
异常名称
image
发现文件是一个叫com.hld.anzenbokusufake的计算器软件
https://theincidentalchewtoy.wordpress.com/2021/12/07/decrypting-the-calculator-apps/
这篇文章详细讲解了隐藏过程
image
image
密码有三块——pin+密保+手势密码
使用火眼分析
image
导出db文件
使用DB Browser for SQLCipher打开,密码:Rny48Ni8aPjYCnUI
image
image
计算器app数据库创建成功
寻找保存了pin密码的文件share_privacy_safe.xml
Pixel.tar/data/data/com.hld.anzenbokusufake/shared_prefs
image
image
https://mm.imbyter.com/ AEA解密 key:Rny48Ni8aPjYCnUI(UTF8)
image

9

12. 接上题,分析上述隐藏功能的APP,一共隐藏了多少个应用:[答案格式:1][★★★★☆]

数据库里找hide_app
image

5

13. 接上题,分析上述隐藏功能的APP,该APP一共加密了多少个文件:[答案格式:][★★★★☆]

file_info表
image

5

14. 接上题,分析上述隐藏功能的APP,该APP加密了一份含有公民隐私信息的文件,该文件的原始名称是:[答案格式:abc.txt][★★★★☆]

image

公民信息.xlsx

15. 分析义言的手机检材,马伟的手机号码是:[答案格式:13012341234][★★★★☆]

文件导出用Rny48Ni8aPjYCnUI进行AES解密
image

18921286666

16. 分析义言的手机检材,手机中存有一个BitLocker恢复密钥文件,文件已被加密,原始文件的MD5值是:[答案格式:小写字母和数字][★★★★☆]

privacy_safe数据库文件file_info表里存有BitLocker——计算机D盘解密会用到
image
文件名:BitLocker 恢复密钥 5FC2643D-3D04-48A7-B6F3-FCCC1B5EADFE.TXT
导出文件,解密方法同上
image
image

BitLocker恢复密钥:337469-693121-682748-288772-440682-300223-203698-553124

MD5: 497f308f66173dcd946e9b6a732cd194

总结

这次的apk取证题目难度中等,前面和服务器题目贴合,后面BitLocker解不解的出来决定了计算机很多题目能不能做出来。数据库查询的过程和手机取证比较像,前面使用了雷电分析软件进行apk分析,后面难点在于找到隐藏软件,并进行静态分析。幸好有相关文章指导,且文件位置,密码,数据库名称未作改动,可以较快的进行解密。
总体来说,收获很大

posted @ 2024-05-23 21:58  yanke_wolf  阅读(559)  评论(0)    收藏  举报