手机取证

1.分析手机检材，请问此手机共通过adb连接过几个设备？(标准格式：3)

我们宿舍adb可以搜索道adb_keys其文件中有两个key,当使用adb链接其他设备时会生成一个公私钥,公钥存在adb_keys中.所以连接过两个 xml中还有时间戳

2.分析手机检材，机主参加考试的时间是什么时候？(标准格式：2024-06-17)

我们可以看到这个修改时间为8月12日,下周5也就是8月23

3.分析手机检材，请问手机的蓝牙Mac地址是多少？(标准格式：12:12:12:12:12:12)

4.分析手机检材，请问压缩包加密软件共加密过几份文件？(标准格式：3)

我们在应用列表里搜索关键词，如file,zip,rar,7z,Encryptor,Crypto等，如果搜不到就只能一个个看了，我们搜索file可以找到一个为FileCompress，文件压缩的软件。

我们搜索最后一个文件夹的名字来查找该应用的安装位置。会发现一个apk猜测为该软件的apk。

在安卓应用的数据一般存储在/storage/emulated/0 或 media/0文件夹下，我们在这些文件夹下搜索可以找到如下的文件。点开这些exe发现需要
打开txt可以发现为压缩包，改为zip发现需要密码。

我们将apk由模拟器打开发现其并没有告知密码也没有设置密码的环节，那么密码应该就在apk中了

逆向apk，在apk的包名的包下可以找到密码。（apk逆向后先看apk自己的包）

1!8Da9Re5it2b3a.

总共加密过6份文件

5.分析手机检材，请问机主的另外一个155的手机号码是多少？(标准格式：15555000555)

6.分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）

在前面的压缩包中可以找到

7.分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？(标准格式：张三)

在Download下可以找到data容器，然后使用TrueCrypt来挂载，不是说VeraCrypt完美兼容TrueCrypt容器吗，蚌。容器里有一张图片和一个表格

观察表格可以发现每个成员都是由邀请人推荐的，而邀请人都是这个团伙的成员，那么我们可以查看哪个邀请人没有出现在成员里，如果没有出现就代表这个成员被误修改了

8.分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？(标准格式：张三)

9.分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）(标准格式：10)

10.分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？(标准格式：100)

11.分析手机检材，机主共开启了几款APP应用分身？(标准格式：3)

12.分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？(标准格式：1)

题目说的是即时通讯软件.所以应该不包括抖音这种。

13.分析手机检材，请问勒索机主的账号是多少（非微信ID）？(标准格式：AB123CD45)

14.分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录？(标准格式：2)

1条

15.分析手机检材，请问会盗取手机信息的APP应用包名是什么？(标准格式：com.lx.tt)

16.接上题，请问该软件作者预留的座机号码是多少？(标准格式：40088855555)

雷电apk快取发现了应该邮箱，但这个并不是座机好码，我们看一下源码

搜索s0这种看上去被加密的字符，会发现其都经过一个包下的方法处理，即b.b.a下的a类的a方法

根据源码可以发现其密钥为传入第二个参数即E10ADC3949BA59ABBE56E057F20F883E,而iv是密钥的前16位即E10ADC3949BA59AB

我们可以看到w0和x0是拼接后进行解密的

40085222666

17.接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？(标准格式：lx@gmail.com)

18.接上题，恶意程序偷取数据的发件邮箱地址是多少？(标准格式：lx@gmail.com)

可以看到b()是一个发送邮件的方法,最终会将谷歌的邮箱和发送的内容传到aVar.a()里我们步入

可以发现一开始进行了一个解密操作

可以发现邮箱

19.接上题，恶意程序偷取数据的发件邮箱密码是多少？(标准格式：abc123)

20.接上题，恶意程序定义收发件的地址函数是什么？(标准格式：a)

计算机取证

1.分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？(标准格式：1A23456ABCD)

仿真后打开pycharm

2.分析计算机检材，身份证为”371963195112051505”这个人的手机号码是多少？(标准格式：13013524420)

使用解密脚本解密，计算机中的加密文件

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
from tqdm import tqdm

def aes_decrypt(encrypted_data, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    decrypted_data = unpad(cipher.decrypt(encrypted_data), AES.block_size)  # 解密
    return decrypted_data.decode()

key = b'65B2564BG89F16G9'  # 与加密时相同
iv = b'83E6CBEF547944CF'  # 与加密时相同

input_file = "encrypted_data.txt"
output_file = "decrypted_data.txt"

def process_data(input_file, output_file, key, iv):
    with open(input_file, "r") as f_in, open(output_file, "w") as f_out:
        for line in tqdm(f_in, desc="Processing"):
            parts = line.strip().split(',')  # 分割行
            index = parts[0]  # 获取索引
            f_out.write(index + ",")  # 写入索引

            decrypted_parts = []
            for part in parts[1:]:
                # 将十六进制字符串转换为字节
                encrypted_part = bytes.fromhex(part)
                decrypted_data = aes_decrypt(encrypted_part, key, iv)  # 解密
                decrypted_parts.append(decrypted_data)

            f_out.write(",".join(decrypted_parts) + "\n")  # 写入解密后的数据

process_data(input_file, output_file, key, iv)

print("解密完成。")