type
status
date
slug
summary
tags
category
icon
password

检材3:手机&app分析---嫌疑人手机

  1. 请分析嫌疑人手机,手机的AndroidId是? 63b306952d310807
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人使用的代理软件账号是? 题目问的是代理软件账号,从问法可以推测是加速器或者各种厂商的翻墙软件,关键词搜索找到金坷垃加速器。
      2. notion image
      通过包名去搜索数据目录,在数据目录下寻找数据库或者shardPreferences。发现文件com.v2ray.bizer_preferences.xml中写有相关答案:1143617983@qq.com
      notion image
  1. 请分析嫌疑人手机,嫌疑人使用TG聊天工具的账号绑定的手机号码为?+44 7732841154
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人使用TG聊天工具中群“酒店监控交流群”群ID为?2607617063
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人在TG群内发放的福利使用的登录账号是?13215994771
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人在TG内进行推广所使用的虚拟币收款钱包地址为?TPNYhBjSLTLgtxwXYbdzkWQUaqg4z3rJi8
      2. notion image
  1. 请分析嫌疑人手机,该手机中嫌疑人主要使用的虚拟币钱包软件app包名为?
notion image
  1. 请分析嫌疑人手机,嫌疑人在手机中保存的助记词对应的虚拟币钱包地址为? 在嫌疑人手机中有发现一张裁剪的单词图片,猜测是否有高度隐写。
      2. notion image
      丢进随波逐流工具发现高度没有问题,但是图片内存在多张png图片。用foremost提取所有png,把所有图片拼接到一起得到完整的助记词。
      notion image
      notion image
      在模拟器中安装该钱包app,随后使用助记词恢复得到钱包地址:0x7aF08074a4CB2d8F6a501ef84Ac48EF3ed56853E
      notion image
  1. 请分析嫌疑人手机,嫌疑人下游负责安装设备的人员共有几人? 查看tg好友聊天记录,发现有两个人,一个财和财哥介绍来的。
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人同伙“财”最近一次安装偷拍摄像头所在的城市是? 火眼直接跑exif
      2. notion image
  1. 请分析嫌疑人手机,100台高清画质的摄像头权限价格是?420
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人配置的客服机器人“laoli2bot”访问API所使用的http token为? telegram创建机器人绝大都是通过@botfather创建,直接找到聊天记录,找到laili2bot相关内容:8177372076:AAFozB1wTnZzjSPUmMCbd4P0aVP1eqfckzs
      2. notion image
  1. 请分析嫌疑人手机,嫌疑人在群内提供的摄像头视频观看APP下载地址是?https://pan.baidu.com/s/1zMqcr7YLEn0gbdkiEx4G6Q
      2. notion image
  1. 请分析”联了么“APP安装包文件,其文件MD5值是?30b643f87ff4c5c407f8f4fee5848e3d
      2. notion image
  1. 请分析嫌疑人手机中安装的“联了么”APP,其登录的用户账号为? 找到手机镜像中的联了么数据目录,将文件全部导出,随后在模拟器中安装app,并覆盖数据目录,打开app,看到有记住的用户名:ituzzop@gamil.com
      2. notion image
  1. 请分析嫌疑人手机中安装的“联了么”APP,登录过多少个账号?2 翻数据库和sharedpref文件未果,直接全局搜索上一个用户名,存储上一个用户名的位置应该存放有其他账号。 搜到一个文件xc_persistence,下面能看到两个Login_account。
      2. notion image
  1. 请分析嫌疑人手机中安装的“联了么”APP,当前登录账号绑定的摄像头设备ID是?PPH0A908A736CC818A
      2. notion image
  1. 请分析嫌疑人手机中安装的“联了么”APP,通过日志查看,该摄像头的内网IP地址是? 全局搜索设备id
      2. notion image
  1. 请分析嫌疑人手机中安装的“联了么”APP,通过日志查看,嫌疑人共访问该摄像头多少次?*(标准答案:9) 14次
      2. notion image
  1. 请分析嫌疑人手机中安装的“联了么”APP,嫌疑人共录制了多少个视频? 日志文件中能搜到3个录制开始,但在手机中能找到4个该摄像头id为文件名的视频。
      2. notion image
      notion image
  1. 请分析”联了么“APP安装包文件,RPC接口的域名是? 下一题题目里面直接有关键词,先做下一题,jadx打开apk,直接搜索CLIENT_SECKEY。能找到一个rpcapi类,类里面直接写有client_id和域名:cn3.api.xcthings.com
      2. notion image
  1. 请分析”联了么“APP安装包文件,程序调用RPC接口时所用的CLIENT_SECKEY秘钥为? 同上。
  1. 请分析”联了么“APP安装包文件,用户登录的RPC服务名称是? Login.PPRpc
      2. notion image
  1. 请分析”联了么“APP安装包文件,使用邮箱或者手机号进行登录,假设输入的密码是xeio21mmd,那么提交到服务器的密码密文是? 略
  1. 请分析”联了么“APP安装包文件,该应用是属于哪个公司的产品? jdax搜索“公司”:三颗小草
  1. 请分析嫌疑人手机检材,“萤石云视频”APP中绑定了多少台摄像头? 翻数据库和sharedpref未果,看到有很多realm数据库文件,导出后用realm studio打开。
      2. notion image
      notion image
      打开后发现有个数据文件有deviceinfo,2台设备。
  1. 请分析嫌疑人手机检材,“萤石云视频”APP中设备名称为XP1的摄像头序列号是? 如上:G45255263
  1. 请分析嫌疑人手机检材,“萤石云视频”APP中创建了多少个分组?
      2. notion image
      同文件下还有一个cameraGroup,能看到5个分组。