个人思路仅供参考~有问题可以联系我或者评论
文章目录
- 移动终端取证
-
-
- 1.请分析涉案手机的设备标识是_______。(标准格式:12345678)
- 2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)
- 3.此检材共连接过______个WiFi。(标准格式:1)
- 4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)
- 5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)
- 6.请分析涉案海报的推广ID是________。(标准格式:123456)
- 7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)
- 8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)
- 9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)
- 10.号商的联系人注册APP的ID是_________。(标准格式:12345678)
- 11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)
- 12.嫌疑人共购买_______个QQ号。(标准格式:1)
-
- APK取证
-
-
- 1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)
- 2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)
- 3.分析该apk,app的内部版本号是__________。(标准格式:1.1)
- 4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)
- 5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)
- 6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)
- 7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)
- 8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)
- 9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)
- 10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)
- 11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)
- 12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)
- 13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)
- 14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)
-
- 介质取证
-
-
- 1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)
- 2.涉案计算机最后一次正常关机时间_______。(标准格式:2023-1-11.11:11:11)
- 3.分析涉案计算机,在2022年11月4日此电脑共开机时长为_______。(标准格式:1小时1分1秒)
- 4.对PC镜像分析,请确认微信是否是开机自启动程序。(标准格式:是/否)
- 5.检材硬盘中有一个加密分区,给出其中“我的秘密.jpg”文档的解密内容。(标准格式:Longxin0924)
- 6.接上题,请问该嫌疑人10月份工资是_______元。(标准格式:123)
- 7.对PC镜像进行分析,浏览器中使用过QQ邮箱,请问该邮箱的密码是______。(标准格式:Longxin0924)
- 8.结合手机镜像分析,得出一个推广ID,请在此检材找到此海报,请写出路径。(标准格式:D:\X\X\1.txt)
- 9.请找出嫌疑人的2022年收入共_______。(标准格式:123)
- 10.分析此海报,请找到嫌疑人的银行卡号。(标准格式:62225123456321654)
-
- 虚拟币分析
-
-
- 1.分析涉案计算机,正确填写中转地址当前的代币种类______。(标准格式:BNB)
- 2.分析涉案计算机,正确填写中转地址当前的代币余额数量_______。(标准格式:1.23)
- 3.根据中转地址转账记录找出买币方地址。买币方地址:_____(标准格式:0x123ABC)
- 4.根据中转地址转账记录统计买方地址转账金额。转账金额:____ ETH.(标准格式:12.3)
- 5.在创建钱包时,应用APP都会建议我们进行助记词备份,方便以后忘记密码后找回钱包,在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组( )
- 6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份(已知地址属于以太坊链),请在模拟器中通过imToken APP恢复嫌疑人钱包,并选出正确钱包地址( )
-
- 流量分析
-
-
- 1.分析“数据包1.cap”,请问客户端为什么访问不了服务器。( )
- 2.分析“数据包1.cap”,出问题的服务器IP地址是_______。(格式:127.0.0.1)
- 3.分析“数据包1.cap”,文件下发服务器的IP地址是_______。(标准格式:127.0.0.1)
- 4.分析“数据包1.cap”,攻击者利用_______漏洞进行远程代码执行。(标准格式:XXX)
- 5.分析“数据包1.cap”,请提取恶意文件,并校验该文件的MD5值为_______。(标准格式:abcd)
- 6.分析“数据包2.cap”,其获取文件的路径是________。(标准格式:D:/X/X/1.txt)
- 7.分析“数据包2.cap”,文件下载服务器的认证账号密码是_______。(标准格式:123)
- 8.分析“数据包2.cap”,其下载的文件名大小有________字节。(标准格式:123)
-
- 服务器取证1
-
-
- 1.服务器系统的版本号是_______。(格式:1.1.1111)
- 2.网站数据库的版本号是_______。(格式:1.1.1111)
- 3.宝塔面板的“超时”时间是_______分钟。(格式:50)
- 4.网站源码备份压缩文件SHA256值是_______。(格式:64位小写)
- 5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是_______。(格式:abcd)
- 网站重构
- 6.分发网站sb.wiiudot.cn一共存放了_______条通讯录数据。(标准格式:1234)
- 7.全部网站一共有_______名受害人。(格式:xxx。不去重,不进行数据恢复)
- 8.分发网站tf.chongwuxiaoyouxi.com里面一共有_______位“组员级别”的管理员。(格式:数字)
- 9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是_______。(格式:xxx)
- 10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是_______。(格式:xxx)
-
- 服务器取证2
-
-
- 1.请分析宝塔面板中默认建站目录是_______。(标准格式:/etc/www)
- 2.在宝塔数据库目录有一个只含有一个表结构的数据库,请找到该“表结构文件”并分析出第六个字段的字段类型是_______。(标准格式:int(11))
- 3.请分析“乐享金融”网站绑定的域名是_______。(标准格式:www.baidu.com)
- 4.请访问“乐享金融”数据库并找到用户表,假设密码为123456,还原uid为2909,用户名为goyasha加密后密码的值是_______。(标准格式:abcdefghijklmnopqrstuvwsyz)
- 关于网站重构
- 5.请重建“乐享金融”,访问平台前台登陆界面,会员登陆界面顶部LOGO上的几个字是_______。(标准格式:爱金融)
- 6.请分析“乐享金融”一共添加了_______个非外汇产品。(标准格式:5)
- 7.请分析“乐享金融”设置充值泰达币的地址是_______。(标准格式:EDFGF97B46234FDADSDF0270CB3E)
- 8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是_______。(标准格式:12345678)
- 9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是_______。(标准格式:张三)
- 10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”,平仓时间为“2022/03/01 18:52:01”,以太坊/泰达币的这一笔交易的平仓价格是_______。(标准格式:1888.668)
- 11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是_______。(标准格式:2022-1-11.1:22:43)
- 12.宝塔面板某用户曾尝试进行一次POST请求,参数为“/BTCloud?action=UploadFilesData”,请问该用户疑似使用的( )电脑系统进行访问请求的。
- 13.请分析该服务器镜像最高权限“root”账户的密码是_______。(标准格式:a123456)
-
移动终端取证
1.请分析涉案手机的设备标识是_______。(标准格式:12345678)
85069625
软件一把梭,不多说了

2.请确认嫌疑人首次安装目标APP的安装时间是______。(标准格式:2023-09-13.11:32:23)
2022-11-16.19:11:26
聊天记录拿到apk名字

翻一翻应用列表即可

3.此检材共连接过______个WiFi。(标准格式:1)
6

4.嫌疑人手机短信记录中未读的短信共有______条。(标准格式:12)
17
软件解析不出来,手动翻数据库\data\com.android.providers.telephony\databases\mmssms.db
sms表中未读read字段为0


5.嫌疑人检材手机在浏览器中下载海报背景图的网址是_______。(标准格式:http://www.baidu.com/admin/index.html)
http://m.ziyuanhu.com/pics/1725.html

6.请分析涉案海报的推广ID是________。(标准格式:123456)
114092

7.嫌疑人通过短信群发去推广APP,请问收件人中有__个号码是无效的。(标准格式:12)
1

8.通过分析,嫌疑人推送的微信账号是______。(标准格式:Lx20230916)
Gq20221101

9.请校验嫌疑人使用的“变声器”APK的包名是________。(标准格式:com.baidu.com)
com.chuci.voice

10.号商的联系人注册APP的ID是_________。(标准格式:12345678)
36991915

11.嫌疑人于2022年11月份在_______城市。(标准格式:成都)
苏州


12.嫌疑人共购买_______个QQ号。(标准格式:1)
8

APK取证
apk前面已经找到过了,导出来就行
1.分析手机镜像,导出涉案apk,此apk的md5值是________。(标准格式:abc123)
d56e1574c1e48375256510c58c2e92e5
2.分析该apk,apk的包名是________。(标准格式:com.qqj.123)
lx.tiantian.com
3.分析该apk,app的内部版本号是__________。(标准格式:1.1)
1.0

4.分析该apk,请问该apk最高支持运行的安卓版本是_______。(标准格式:11)
12
manifest看到的sdk版本32,对应Android12


5.分析该apk,app的主函数入口是_________。(标准格式:com.qqj.123.MainActivity)
lx.tiantian.com.activity.MainActivity

6.分析该apk,请问窃取短信的权限名称是________。(标准格式:android.permission.NETWORK)
android.permission.READ_SMS
没啥意思的题目,翻源码根本都没看到在读短信

7.APP使用的OPPO的appkey值是________。(标准格式:AB-12345678)
OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码,该APK后台地址是________。(标准格式:com.qqj.123)
app.goyasha.com
主函数里

9.分析apk源码,APP 后台地址登录的盐值是_______。(标准格式:123abc=%$&)
73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@
10.分析apk源码,该APK后台地址登录密码是______。(标准格式:longxin123)
lxtiantiancom
搜一下admin,login这种关键词就能找到了


11.对 APP 安装包进行分析,该 APP打包平台调证值是______。(标准格式:HER45678)
H5D9D11EA
AndroidManifest里

12.此apk抓包获取到的可访问网站域名IP地址是_______。(标准格式:192.168.1.1)
192.168.5.80
手翻是翻的出来的,抓包是没抓着的

都没被引用过这能抓得着的??

13.分析apk源码,该apk的加密方式key值是________。(标准格式:12345678)
ade4b1f8a9e6b666
搜一下AES就行了,或者手动翻翻也翻的到,跟后台写在一个包里

14.结合计算机镜像,综合分析,请问该apk开发者公司的座机号码是__。(标准格式:4001122334)
4008522366
做到后面到pc的最后几题了再分析,留个坑
介质取证
1.对PC镜像分析,请确定涉案电脑的开机密码是_______。(标准格式:123456)
Longxin360004
用龙信的仿起来会有密码提示,火眼仿起来密码会直接绕过去了
提示要个工号

微信传过一个工资条,里面有工号

该博客围绕数字取证展开,涵盖移动终端、APK、介质、虚拟币、流量、服务器等多方面取证内容。介绍了各领域取证的具体问题及分析思路,如通过聊天记录、应用列表、数据库等获取信息,还涉及网站重构、密码破解等操作。

1615

被折叠的 条评论
为什么被折叠?



