第三届长安杯赛后总结.docx

电子数据取证 - 第三届长安杯赛后总结 在这份报告中，我们将对第三届长安杯赛后总结进行电子数据取证的分析，主要涵盖了取证的各个方面。 我们需要对检材一 APK 文件进行分析，计算其 SHA256 值，并获取应用包名。通过逆向分析代码，我们可以获取 APK 的应用唯一标识（APPID），这是 APK 的打包工具的记录，可以获取注册打包工具人的详细信息。 我们需要对 APK 的权限进行分析，包括读取短信、通讯录、精确位置等权限。通过工具分析权限，我们可以获取 APK 的危险权限。 此外，我们还需要对 APK 发送回后台服务器的数据进行分析，包括手机通讯录、应用列表、手机号码、验证码、GPS 定位信息等内容。通过模拟器抓包，我们可以获取这些内容的回传。 在对源码进行静态分析的时候，我们可以看到其获取的系统信息，并对那些数据进行回传。同时，我们还需要对 APK 的回传地址域名进行分析，获取其回传地址。 在对 APK 的代码中，我们可以找到配置的变量 apiserver 的值，并对其进行分析。通过 Notepad++ 中直接搜索，我们可以找到变量的值http://www.honglian7001.com/api/uploads/。 此外，我们还发现该 APK 具备获取短信回传到后台的功能，短信上传服务器接口地址为http://www.honglian7001.com/api/uploads/apisms。通过分析代码，我们可以看到这里的代码时感觉之前又看到过，read sms 读取短信的权限，既然读取了那必然要往后台发送，可以断定这里就是回传短信的函数。 在对 APK 运行过程中，我们发现该 APK 会在手机中产生一个数据库文件，该文件的文件名为 test.db。通过使用雷电 app 分析工具，我们可以对数据库相关信息进行hook。 我们还需要对检材二的原始硬盘的 SHA256 值进行分析，需要把磁盘挂载出来进行计算。不能直接计算镜像的哈。 这份报告对第三届长安杯赛后总结进行了电子数据取证的分析，涵盖了取证的各个方面，为取证提供了详细的指导。