Featured image of post 2025獬豸杯
取证 WP

2025獬豸杯

取证复现2

检材&题目来源https://forensics.didctf.com/

官网没提供容器密码,veracrypt或FTK挂载,密码为:}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E

手机

data.dd->data.dd.tar解压

没有一把梭软件,只能硬翻,在axiom中我们先筛选非system程序,再看从小米市场下载的程序,最后定位到
几个软件中寻找后判断出com.huodong.yanyu应该是烟雨直播软件,也就是我们所要找的直播软件,然后进入文件夹中的database后
miao.db中找到login,id为35248617

打开软件看看,发现正好是一无所有

难绷,直接搜,一个大阳山一个武功山(后面这个难搜到),结果是武功山

前一个是系统设置,数据库里可以找到初始化IMSI,第二个问AI知道的,查查看
E:\手机\user_de\0\com.android.providers.telephony\databases中找到
460115143563428

5\6放一起看,可以得知是网易会议,在shared_prefs中查看残留信息
FlutterSharedPreferences.xml中找到
找到mettingID和meetingNum
搜索官网得知会议ID是meetingNum,提交是正确的,但是时间没有确定
312-118-071

手机\media\0\Android\data\com.netease.yunxin.meeting\files\nim\extra_log\imkit_log
中可以找到log文件,根据官方github中对应Privatemeeting,搜索得到
2679823922

记账小能手
4

上图往后滑一下就有
勇哥

DC_store中看到没有手机号

chats-app-10950-private中能看到消息 30000

上面有 17751125237

这是…这我真不知道了
看网上在/user_de/0/com.android.phone/shared_prefs/com.android.phone_preferences.xml中,
1055

白马蔚蓝百度3个

计算机

取证大师一把梭
00-0C-29-BF-8B-30

18363

查找发现有个mm.txt,密码或许在新建文本文档.txt里?但是内容清空了,注意到
2.10号这一天既有输入法输入密码的操作,又有日志分析中修改密码成功的操作,我们缩减范围到2.10号这段时间内
除了文本文档外还对便笺进行了操作,文本文档没找到密码,我们看一下便笺
ps:forensictools也提示我们在备忘录里

查找得知便签数据库文件位置"I:\Users\TTT\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite" sqlitebrowser打开
WAXD9128@

这是什么玩意?我不会了
在document下看到一个.npbk文件,夜神模拟器的文件格式之一,还有一个dididi.saz
这里进行了登录操作
找到password,
a12345678

流量包搜yeshen,看包就找到了
SM-G955N

搜video,然后随便点开一个流量包就能看到月份,抖音的视频 5

说实话这个上网都行吧。。
起点中文网

火眼分析看到,大概就是这个许羽了,到雷电分析一下

jadx看一下
anzhuo.com

草之前那道题mm.txt里容器的密码就是这玩意的: 新建文本文档.txt

貌似是这个
7zip看一下 8955b1

这里还可参考大佬做法找容器 大小一个g(找容器主要就是根据大小来找,一个g就很明显,其次是个“白图标文件”)

没错就是这个,用密钥在veracrypt打开即可

IDA中快速搜索找到
0x4393c0

DIE里看
0x035b5000

com.suijideszzuiji.cocosandroid

没加固

大概是这个?
android.permission.WRITE_EXTERNAL_STORAGE
还真是

雷电里面抓包,login的时候就可以看到了

https://47bc63ed04500151.com/ky188/member/memberManager/login 但是好像不对,原来是因为开了代理模式的原因,合理猜测是168js.bhibfy.com或者168js.bvocftd.com https://168js.bvocftd.com/ky188/member/memberManager/login

雷电里直接搜敏感信息或者然后源码中确认qqID即可
1108221663

(=3]Zwjt#W

© 2024 - 2025 楠牧音 | glow nan0in
本博客已稳定运行
发表了37篇文章 · 总计9万8千字

浙ICP备2024137952号 『网站统计』

𝓌𝒶𝒾𝓉 𝒻ℴ𝓇 𝒶 𝒹ℯ𝓁𝒾𝓋ℯ𝓇𝒶𝓃𝒸ℯ
使用 Hugo 构建
主题 StackJimmy 设计
⬆️该页面访问量Loading...