|

2021年中科实数杯团队赛手机部分考题write up

1119

本文由湖北警官学院19级网安靖雯编写,转载请注明。

    今年五月份在江苏警官学院参加中科实数杯时,部分参赛选手解题时一度卡在了模拟器的锁屏密码上,导致无法打开模拟器,后面的题目也因此全军覆没。但其实这只是“山重水复疑无路”而已,学会灵活试用X-waysAPK Messenger、JADX和GPA等软件,我们依然可以看到“柳暗花明又一村”。首先我们来看前面基础的一个问题。

11,请找出操作系统中安装的Android模拟器名称和安装日期

    一般的自动取证方法就是用取证大师自己跑,很容易就可以知道模拟器名称和安装时间,为“夜神模拟器”,这道题目可以说是入门级别的难度了,只要电脑带的动取证大师就可以了,但想必这道题目的主要意义不是要考验你的电脑性能,做到后面你就会发现这其实是一个伏笔。

    而如果想要手工取证的话,我们可以使用软件X-ways打开这个E01,几秒钟内X-ways就可以将数据展示到你的眼前,这也是我最常使用的手动取证软件,功能齐全,非常实用。
    众所周知,win7系统的Program Files (x86)是一个系统文件夹,一般32位应用程序都会默认安装在Program Files (x86)文件中,而64位应用程序则会安装在Program Files文件夹中。在这里如果想节约时间取巧一下的话(此电脑只有一个分区,结构简单,故尝试),直接点开这两个文件夹就可以看到系统安装的软件了。再用心观察一下,就不难发现一个名为的NOX文件夹,其就是常见的安卓模拟器夜神模拟器。
    但是注意,这里看到的文件夹创建时间并不能等同于模拟器的安装时间,准确的安装时间应该打开注册表看。
    如果想要手工取证得到准确的安装时间,可以首先使用X-ways软件过滤功能得到注册表文件,右键打开,然后右键创建报告,选择相应的模板打开就可以看到准确的软件安装日期甚至时刻。

图片

图片

    其次,我们再看后面的Android 模拟器分析部分,其中大部分的题目都是围绕着模拟器中一个叫“大某”的软件展开的,一般的解题思路就是通过FTK软件挂载镜像然后仿真进入计算机模拟器分析,这时我们就会遇到模拟器的手势密码问题,具体解题过程可以参考我校17级朱学长的推文。
https://mp.weixin.qq.com/s/go9IgKTWucYploSkEQVEHw
    如果在赛场上没有这样的编程水平,也没有好运气直接试对密码,难道就束手无策,准备放弃?其实不是这样的,上文说到的伏笔就是解决后面这些问题的钥匙,在NOX文件夹中可以找到一个wmdk文件(虚拟机VMware创建的虚拟硬盘格式),在这里其实就是模拟器的镜像备份文件。利用X-WAYS的恢复功能(相当于取证大师的导出)将这个文件提取到本地,再次使用X-ways打开就可以不需要密码地看到模拟器的内部数据。
    然后,再次通过X-ways的过滤功能找到APK文件,通过文件名可以推测base.apk,应该就是我们要找的软件(其余为系统软件)。
    再次恢复至本机,用自己下载的模拟器(亲测夜神,雷电模拟器皆可)打开apk即可看到,这就是我们需要的“大某“APP。

图片

    这样后面的很多问题我们就可以解决了。用APK Messenger、JADX和GPA打开APK可以直接看到APK的部分信息。

    再逐题分析一下其它题目。  

22、分析给出大某应用的签名里的国家代码

使用APK Messenger解析apk可得到,国家代码为PH

图片

    

 23、请通过分析给出Android设备的序列号

    直接使用X-ways的文本搜索功能,搜索关键词serial_number即可得到序列号为dd172a69056b7ebc,模拟器解锁后也可以在状态信息中直接查看。

图片

    小技巧:逆向搜索之前找到的序列号可以发现persist.nox.serial就是记载序列号的文件。


  24、请通过分析给出“大某”应用用户登录信息保存在本地的文件名。

    通过登录的用户名在X-ways中同步搜索djujjf即可找到,保存登录信息的本地文件名为ds-preferences.xml    

图片

        

   25、请提供“大某”应用使用的权限。

可在APK Messenger直接查看,也可以在模拟器的权限管理中查看。    

图片

        

 27、请通过分析给出Android版本号。

    直接使用X-ways的文本搜索功能搜索关键词os_version即可得到安卓版本号为7.1.2,解锁模拟器后也可以在状态信息中直接查看。    

图片

小技巧:逆向搜索可直接在文件persist.nox.fingerprint中看到安卓版本号。

 29、请分析给出“大某”应用的签名中记录的有效期。

    可在JADX中的资源文件下的APKsignature中查看,可知签名有效期至:

Mon Apr 10 16:55:33 CST 2045 

图片

    

   30、请通过分析给出登录“大某”应用使用的账号。

打开应用即可知道账号为djujjf     

图片

        

   32、请分析给出“大某”应用的主Activity。

在GDA中可以直接看到主Activity(Main Activity)为 org.zywx.wbpalmstar.uex11818.activity.SplashActivity    

图片


  35、请分析给出“大某”应用版本号。

可在APK Messenger直接查看,其版本号为59    

图片

        

36、请通过分析给出“大某”应用中使用的“极光推送”的AppKey值。

    百度百科:极光推送(JPush)是独立的第三方云推送平台,致力于为全球移动应用开发者提供移动消息推送服务。2016年6月,国内一站式开发者服务平台极光推送发表公开声明,宣布品牌正式全面升级为大数据综合服务商“极光”。
    在GPA中可以发现与该服务有关的内容如下所示,则可知JPUSH(极光推送)的APPKEY为a7a058c20bdb5d8e65aa6786    

图片

    
    

  37、请提供“大某”应用包名称及安装日期。

    在APK Messenger可以直接看到大某的包名,为com.elughkhktu.leohwiuirgk;再通过X-ways看APK的详细内容,就可以知道其安装日期为2021/05/05d11:50:22 +8    

图片

图片

        

   38、请通过分析给出连接的WiFi名称。

Android是基于Linux内核的系统,所以在X-ways打开路径\misc\wifi就可以看到有关WIFI的信息,记录于wpa_supplicant.conf和networkHistory.txt中,WIFI名称为WiredSSID

PS:自动化取证软件中也可以直接跑出结果。    

图片

   

  40、请提供“大某”应用安装包的SHA256哈希值。

用HashTab直接计算X-ways恢复出来的base.apk。也可以在X-ways中使用磁盘快照功能计算。值为0C92EAA124C89F406A38EF6C77731505D84EE7D857621AF7914554491C06E9F6

图片

    
小结:我们在比赛和实际中经常会遇到有密码的检材,有些密码可以通过软件直接破解,但总会遇到自己现阶段水平无法解开的密码。这时不意味着我们就要选择放弃,而是在提醒我们要仔细审题,冷静思考,想办法通过其他方法解决问题,同时也在要求我们更加深入地学习取证知识,同时不断提高我们各方面的能力,学会使用除自动化取证软件之外的,更加方便、有力的各类软件来解决问题。只有不放弃问题,才能解决问题。
PS:感谢举办提供的学习机会。现在回顾起来,仍然觉得考题逻辑强,设计巧妙,是训练的好材料


上一篇

广州日报-要闻

1044

下一篇

头条|重磅!推进"法庭科学"标准制定推广!中共中央、国务院印发《国家标准化发展纲要》

1213

回到顶部
提示:官方微信正在抓紧开发中... ...
产品服务
取证
存证
司法鉴定
学习与交流
取证视频
会议论坛
投稿
选课与考试
关于我们
取证介绍
企业资质
团队介绍
发展里程
业务联系
云存证 010-64362612
取证在线 020-22912632
司法鉴定 020-22912632
培训合作 01064362612
联系我们 法律声明 意见反馈
苏ICP备17057931号-1 中科实数版权所有 电话 020-22912686 邮箱 market@realdatachina.com
中科实数 | 中国科学院软件研究所 | 广东中科司法鉴定所 | 其他

Copyright 2021 Realdata All Rights Reserved

南京中科实数科技有限公司版权所有

   苏ICP备17057931号-1