电子数据取证 - 第三届长安杯赛后总结
在这份报告中,我们将对第三届长安杯赛后总结进行电子数据取证的分析,主要涵盖了取证的各个方面。
我们需要对检材一 APK 文件进行分析,计算其 SHA256 值,并获取应用包名。通过逆向分析代码,我们可以获取 APK 的应用唯一标识(APPID),这是 APK 的打包工具的记录,可以获取注册打包工具人的详细信息。
我们需要对 APK 的权限进行分析,包括读取短信、通讯录、精确位置等权限。通过工具分析权限,我们可以获取 APK 的危险权限。
此外,我们还需要对 APK 发送回后台服务器的数据进行分析,包括手机通讯录、应用列表、手机号码、验证码、GPS 定位信息等内容。通过模拟器抓包,我们可以获取这些内容的回传。
在对源码进行静态分析的时候,我们可以看到其获取的系统信息,并对那些数据进行回传。同时,我们还需要对 APK 的回传地址域名进行分析,获取其回传地址。
在对 APK 的代码中,我们可以找到配置的变量 apiserver 的值,并对其进行分析。通过 Notepad++ 中直接搜索,我们可以找到变量的值http://www.honglian7001.com/api/uploads/。
此外,我们还发现该 APK 具备获取短信回传到后台的功能,短信上传服务器接口地址为http://www.honglian7001.com/api/uploads/apisms。通过分析代码,我们可以看到这里的代码时感觉之前又看到过,read sms 读取短信的权限,既然读取了那必然要往后台发送,可以断定这里就是回传短信的函数。
在对 APK 运行过程中,我们发现该 APK 会在手机中产生一个数据库文件,该文件的文件名为 test.db。通过使用雷电 app 分析工具,我们可以对数据库相关信息进行hook。
我们还需要对检材二的原始硬盘的 SHA256 值进行分析,需要把磁盘挂载出来进行计算。不能直接计算镜像的哈。
这份报告对第三届长安杯赛后总结进行了电子数据取证的分析,涵盖了取证的各个方面,为取证提供了详细的指导。
