手机取证
1.请分析检材二,请分析”手机”检材,并回答,并回答该手机的device_name是?
直接暴搜device_name,我用的是filelocator,想不到真给搜到了,在检材2.tar/adb/lspd/log/props.txt这个位置
答案是Redmi 6 Pro
2-3都在“备忘录日记”app里面,找到其数据库note-database
2.请分析检材二,请分析”手机”检材,并回答,嫌疑人pc开机密码是什么?
1qaz2wsx
3.请分析检材二,请分析”手机”检材,并回答,嫌疑人接头暗号是什么?
是一张图,根据给的图片名称搜索,找到图片,只有一句话:“爱能不能够永远单纯没有悲哀”
4.请分析检材二,请分析”手机”检材,并回答,嫌疑人存放的秘钥环是多少?
在便签里发现了秘钥环的提示,那就去便签文件夹里找,可以先看看便签的包名是com.miui.notes,找到数据库即可
5.请分析检材二,请分析”手机”检材,并回答,嫌疑人一生中最重要的日子是什么时候?
这个赛后听说是ocr识别出来的一个倒数日的截图,算出来是2026.2.26
6.请分析检材三,请分析”手机”检材,并回答,嫌疑人微信生成的聊天记录数据库文件名称是什么?
这个是常识,EnMicroMsg.db
7.请分析检材二,请分析”手机”检材,并回答,嫌疑人微信账号对应的 UIN 为多少?
这个一般都在微信的shared_prefs下的auth_info_key_prefs.xml里面,这里是1864810197
8.请分析检材二,请分析”手机”检材,并回答,嫌疑人微信聊天记录数据库的加密秘钥是什么?
一般就是IMEI或者1234567890ABCDEF+uin算MD5取前七位,用sqlcipher2.1可以输入密钥读取;答案是31ad809
9.请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”的解压密码是多少?
首先聊天记录说密码就是号码
前面嫌疑人又问了联系方式,对面给了一张图,那么联系方式也就是号码在图片里面,但是我们打开图片,010看发现并没有什么东西,而且似乎也不存在其他隐写,又打开数据看看,imgPath项显示这个是缩略图,看来不是源文件咯,要找到源文件,于是到这个账户的文件夹下有个image2自己翻翻,或者直接看看imgPath里面的图片名字,总之定位到一个文件夹bb,有两张缩略图和两张大图,其中一张大图里面有二维码,扫码出来是一个+1开头的美国号码,去掉前面的+1就是压缩密码:3170010703
10.请分析检材二,请分析”手机”检材,并回答,嫌疑人“欠条.rar”解压后,其中VeraCrypt容器的MD5值是多少?
解压后有三个东西,一张图,上面全是“仁义道德”;一个图片密码(不知道干嘛用的),和“欠条“容器,丢进去算就行
83da62aabc88cb1b23e9469142b67b80
11.请分析检材二,请分析”手机”检材,并回答,嫌疑人提供的“欠条.rar”解压后,其中”1.png”图上显示的VeraCrypt容器密码是多少?
这个1.png上的密码很不清晰,可以用stegsolve试着换通道看看会清晰一点:
#!@KE2sax@!da0h5hghg34&@
12.请分析检材二,请分析”手机”检材,并回答,嫌疑人李某全名是什么?
李安弘
13.请分析检材二,请分析”手机”检材,并回答,嫌疑人欠款金额是多少?
80000元
介质取证
1.请分析检材三,请分析”电脑”检材,并回答,该电脑最后一次开机时间是?
2.请分析检材三,请分析”电脑”检材,并回答,嫌疑人的备用机号码是多少?
备用机号码在便签里面,白色图片;我勒个这是人啊
3.请分析检材三,请分析”电脑”检材,并回答,域名dgy02.com曾保存过一个密码,该密码是多少?
这个可以用密钥环进入chrome浏览器,在侧边栏有”密码和自动填充“
tcgg123456
4.请分析检材三,请分析”电脑”检材,并回答,其电脑安装的微信版本是多少?
apt list –installed或者dpkg -l
结果是4.0.0.21
5.请分析检材三,请分析”电脑”检材,并回答,该系统有哪些远程控制软件
向日葵和todesk
6.请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,其记录的日志文件名为
sunlogin_service.log.2
7.请分析检材三,请分析”电脑”检材,并回答,电脑2025年4月10日11点4分29秒曾被向日葵远程控制,日志内记录对方公网IP地址和端口为
搜索特征P2PHolePunch得到ip:116.192.161.222:2578,这种流量也是有自己的固定特征的
8.请分析检材三,请分析”电脑”检材,并回答,某文件的MD5值为“2bdfcdbd6c63efc094ac154a28968b7d”,该文件名为
9.请分析检材三,请分析”电脑”检材,据调查,上述文件存放了钱包助记词,第一个单词是什么?
发现/home/adm1n/图片下面有个important.docx,然后用zip方式打开看,发现有一个important.xml,放到010里面一看是一个被改了文件头的jpg
是solution
10.请分析检材三(“我的测试机”),最近曾访问过的音频文件,该音频文件的文件名是什么
自传小说.MP3
11.请分析检材三(“我的测试机”),最近曾使用过USB设备,该设备的名称为
Thinkplus
12.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人现任妻子毕业的大学是?
这里我直接听的,用buzz转换出来不理想,所以还是人工去听吧,建议用audacity,可以跳过空白部分;
上海大学
13.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人是通过一个朋友认识的陈老板,该朋友姓氏拼音是?
wang
14.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人所说的香格里拉大酒店实则是?
棋牌室
15.请分析检材三(“我的测试机”)中的音频内容,并回答,嫌疑人银行密码是多少?
这是个脑洞题,嫌疑人似乎在供述自己的犯罪经历,但是其录音却明确的分为一段一段;说明分段是有意义的,意义就在于每一段的第一个字结合起来就是:”我的银行密码是071492“(汗了)