2024“龙信杯“电子数据取证竞赛-手机取证题目Writeup

文章关键词：电子数据取证、电子物证、手机取证、服务器取证、介质取证

案情介绍

近期，某公安机关正式受理了一起受害者报案案件。受害者陈述称，其通过微信平台结识了一名自称为相亲中介服务的客服人员。该客服人员诱骗受害者参与所谓的“相亲对象筛选”活动，即所谓的“选妃”过程。在受害者不察之下，整个交流过程被犯罪团伙暗中录音录像。

随后，该客服人员以提供更多潜在相亲对象为由，诱导受害者下载并安装了一款预先准备好的恶意木马应用程序（APP）。一旦受害者安装了此 APP，犯罪嫌疑人便利用手中掌握的录音录像资料以及受害者的通讯录信息作为威胁手段，对受害者实施多次敲诈勒索和诈骗行为。

面对持续的精神压力和经济损失，受害者最终不堪重负，决定向公安机关报案，以期揭露并制止这一恶劣的犯罪行为。

手机取证题目Writeup            

1、分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]

参考答案：2

解题思路：通过misc分区发现共保存2个钥匙串，故连接过2个设备。

2、分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]

参考答案：2024-08-23

解题思路：

3、分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]

参考答案：48:87:59:76:21:0f

解题思路：

4、分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]

参考答案：6

解题思路：先找到目标加密软件，为com.zs.filecompress应用，在此文件路径下找到共加密多少文件即可。

5、分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]

参考答案：15599555555

解题思路：5.1逆向分析上题中的apk，找到加密密码为：1!8Da9Re5it2b3a。

5.2分析上题加密文件mm.txt，即可发现答案。

6、分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）

参考答案：d7Avsd!Y]u}J8i(1bnDD@<-o

解题思路：与上题一样，解密“重要.txt”即可

7、分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]

参考答案：陆俊梅

解题思路：

编写层级分析代码：

import pandas as pd

defbuild_supervisor_dict(df):
   supervisor_dict ={}
   for index, row indf.iterrows():
       name =row['姓名']
      supervisor = row['上级']
      if name notin supervisor_dict:
          supervisor_dict[name] = supervisor
  return supervisor_dict

deffind_all_supervisors(name, supervisor_dict):
   supervisors =[name]
   while name insupervisor_dict:
       name =supervisor_dict[name]
       supervisors.insert(0, name)
   returnsupervisors

df =pd.read_excel('data.xlsx', sheet_name='Sheet1', dtype=str)
supervisor_dict =build_supervisor_dict(df)
result_data =[]
for name indf['姓名']:
  supervisors =find_all_supervisors(name, supervisor_dict)
  result_data.append([name] +supervisors)
max_length =max(len(row) for row inresult_data)
result_data = [row +[''] *(max_length - len(row)) forrow in result_data]
result_df= pd.DataFrame(result_data, columns=['姓名']+ [f'分级{i}'for i inrange(1, max_length)])
result_df.to_excel('result.xlsx', index=False)

通过结果数据分析，发现总部一级别有异常值，分析其手机号码，在原始表格中找到对应数据。

8、分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]

参考答案：刘珏兰

解题思路：在原始表格中修改对应的正确值，重新运行脚本。

9、分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]

参考答案：12

解题思路：

10、分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100]

参考答案：1065

解题思路：

11、分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]

参考答案：2

解题思路：

12、分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]

参考答案：3

解题思路：通过程序列表定位即可：默往、微信、MChat

13、分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]

参考答案：1836042664454131712

解题思路：

14、分析手机检材，接上问，请问机主通过此应用删除过几个聊天记录？[标准格式：300]

参考答案：1

解题思路：

15、分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]

参考答案：com.lxlxlx.luoliao

解题思路：通过微信聊天记录定位到目标应用

16、接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]

参考答案：40085222666

解题思路：在授权拒绝之后，窗口会跳转出一段文字，解密（AES加密）之后即可发现目标结果，相关代码如下

17、接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：lx@gmail.com]

参考答案：1304567895@gmail.com

解题思路：目标APP存在两个收件邮件，一个为明文的189邮箱，一个为加密的gmail邮箱，解密后即可找到目标答案。

18、接上题，恶意程序偷取数据的发件邮箱地址是多少？[标准格式：lx@gmail.com]

参考答案：temp1234@gmail.com

解题思路：接上题进一步分析进程，即可找到设置好的加密邮箱为d

19、接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]

参考答案：qwer123456

解题思路：同上位置解密即可

20、接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

参考答案：b

解题思路：

以上内容是2024年“龙信杯”电子数据取证竞赛手机取证题目的答案与解题思路，也欢迎广大用户和我们沟通交流，共同进步！