1
2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目。
1
检材密码:Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

APK取证

1

1
涉案apk的包名是?[答题格式:com.baid.ccs]

jadx-gui打开分析,在AndroidManifest.xml中找到

image-20250526214047218

1
com.vestas.app

2

1
涉案apk的签名序列号是?[答题格式:0x93829bd]

image-20250526214230029

1
0x563b45ca

3

1
涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]

全局搜索,

image-20250526214815117

image-20250526214834810

1
2147483647

4

1
涉案apk的服务器域名是?[答题格式:http://sles.vips.com]

模拟器打开

image-20250526215817147

1
https://vip.licai.com

5

1
涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]

搜索activity

image-20250526222807852

手机取证

1

1
该镜像是用的什么模拟器?[答题格式:天天模拟器]

image-20250526222952394

雷电模拟器

2

1
该镜像中用的聊天软件名称是什么?[答题格式:微信]

image-20250526225724103

image-20250526225756724

与你

3

1
聊天软件的包名是?[答题格式:com.baidu.ces]

同上

1
com.uneed.yuni

4

1
投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]

手机大师导出db,

image-20250527000504066

查看messages表

image-20250527000550076

image-20250527000437255

5万

5

1
受害人是经过谁介绍认识王哥?[答题格式:董慧]

image-20250527000714736

华哥

计算机取证

1

1
请给出计算机镜像pc.e01的SHA-1值?[答案格式:大小写均可]

image-20250527002329648

1
23F861B2E9C5CE9135AFC520CBD849677522F54C

2

1
给出pc.e01在提取时候的检查员?[答案格式:admin]

同上

1
pgs

3

1
请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]

进入浏览器的第一个地址就是首页地址

image-20250527002655224

1
http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

4

1
请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]

取证大师看不见密码,手机大师给的密码是一大串类似hahs值的东西,仿真后在谷歌浏览器中找到密码

(仿真时不能绕过密码,不然这里就没有)

image-20250527094318089

1
yang88/3w.qax.com

5

1
请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]

随便打开一个pdf文件

image-20250527171706121

2023春季更新(14309)

6

1
请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:大小写均可]

一开始没有找到这个文件,后来翻文件发现d盘中有个镜像,重新添加为检材,找到这个文件计算sha-1值

(现在看起来这个img镜像和iSCSI服务器有关,这个利用startwind6软件把这个镜像映射到电脑上,)

image-20250527181354848

点击这个后会弹出g盘,里边有题目所要的文件,然后可以用certutil -hashfile 得到sha1值

image-20250527172020080

1
24CFCFDF1FA894244F904067838E7E01E28FF450

7

1
请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]

image-20250527174201945

全局搜索密码,得到

3w.qax.com!!@@

8

1
请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]

了解到

image-20250527175414119

去找和这个软件相关的东西,打开

image-20250527181526727

3261

9

1
请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]

image-20250527182356413

但密码不允许复制,打开 StarWind 目录下的 StarWind.cfg,里面存放了账户密码。

搜索user,逐个查找

image-20250527182600849

1
user/panguite.com

10

1
分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]

image-20250527202048703

这个很大的txt文件不对劲,结合电脑上有veracrypt猜测为挂载容器

结合之前的密码,打开

image-20250527203344456

1019

内存取证

1

1
请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]

image-20250527210643002

1
2023-06-21 01:02:27

2

1
请给出计算机内用户yang88的开机密码?[答案格式:abc.123]

image-20250527211413533

最后一个hash应该是,可以hashcat爆破,但不必要,MD5查查but

image-20250527211956572

真神人,猜测和之前的一样3w.qax.com

image-20250527212525741

image-20250527212437848

突然想起来lovelymem可以mimikatz了,直接看密码

image-20250527213606221

3

1
提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]

给lovelymem加了个usbstor的插件

image-20250527224632588

1
2023-06-21 01:01:25

4

1
请给出用户yang88的LMHASH值?[答案格式:字母小写]

image-20250527221127745

1
aad3b435b51404eeaad3b435b51404ee

5

1
请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]

看眼 MFT 解析,里面搜索”提现记录.xlsx”,其中的 Access Date 就是访问时间。

image-20250527222125492

换时区

1
2023-06-21 00:29:16

6

1
请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]

userassist,注意是 UTC+8。

image-20250527225037026

1
2023-06-21 00:47:41

7

1
分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]

由之前得知这个软件的后台为https://vip.licai.com

看 Chrome 历史,即 chromehistory,搜索https://vip.licai.com没搜到?奇怪,搜关键词吧

image-20250527225828958

2

8

1
请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]

进程搜索,最后一次

image-20250527230011027

2456

服务器取证

1

1
分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]

仿真

image-20250530112411419

1
3.10.0-957.el7.x86_64

2

1
分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]

image-20250530114148894

1
ff1d923939ca2dcf

但奇怪的是,宝塔的数据库信息中,密码不是这个

image-20250530115014524

3

1
分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]

上图db-host

1
pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com

4

1
请给出涉网网站数据库版本号? [答题格式: 5.6.00]

image-20250530112524345

1
5.7.40

服务器重构

请教aura佬,感谢aura佬的指点·

需要重构网站,首先仿真服务器镜像,

qemu 把qcow2文件转为vmdk文件,

1
qemu-img convert -f qcow2 CentOS_7.2_x86_64_XD.qcow2 -O vmdk Centos.vmdk

vmware建立新的虚拟机,

仿真完镜像后,进入单用户模式,修改root密码,然后用 windterm ssh 连接。

image-20250530195338389

启动bt服务,修改密码,登录后台,得到数据库root的秘密

image-20250530195526798

mysql 连接,最开始发现

只有四个数据库,结合检材中的,~qp.xb文件,需要恢复数据库

阿里云Mysql5.7 数据库恢复 qp.xb文件恢复数据_数据库备份qp文件如何还原-CSDN博客

安装 qpress。

1
2
3
4
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin

安装 xtrabackup。

1
2
wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm

使用 xbstream 处理 xb 文件。

1
cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /www/server/data

进入 /www/server/data 进行解压。

1
2
3
4
cd /www/server/data
innobackupex --decompress --remove-original /www/server/data
innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data
chown -R mysql:mysql /www/server/data

image-20250530200619908

报错了,不影响。

去修改 mysql 的配置文件,把所有表名都改成小写。

1
2
3
vim /etc/my.cnf
#在[mysqld]块下添加
lower_case_table_names=1

全部完成以后重启 mysql 数据库,然后登入发现数据库恢复成功。

1
sudo systemcal restart mysql

image-20250530200759521

给网站添加一个 ip 作为域名。

image-20250530201226259

进入网站会报错

img

去修改网站根目录里面的 .env 文件

image-20250530201424146

查看登录日志

image-20250530202954864

知道登录的api,修改登录检验的逻辑,以实现任意秘密登录

image-20250530203113275

进入后台界面

5

1
请给出嫌疑人累计推广人数?[答案格式:100]

image-20250530203629695

1
69

6

1
请给出涉案网站后台启用的超级管理员?[答题格式:abc]

image-20250530203748017

1
admin

7

1
投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]

image-20250531141606208

image-20250531141724993

8

1
最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]

image-20250531141858503

9

1
分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]

image-20250531142013567

筛选一下,一共有20

1
20

10

1
分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]

navicat连接数据库

1
SELECT * FROM member where bankaddress LIKE "%上海%";

筛选数据

image-20250531142838218

1
2

11

1
分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]

image-20250531143328357

1
128457.00

12

1
分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]

可以在上图左边放大镜处一个个找,不过有点难找全

最好在数据库中直接查找,知道嫌疑人的推荐号

1
SELECT COUNT(*) FROM member where inviter LIKE "513935";

image-20250531144015265

1
17

13

1
分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]

同样数据库搜索

1
SELECT COUNT(*) AS inviter_count, `inviter` FROM `member` GROUP BY `inviter` HAVING COUNT(*) > 2;

image-20250531144926538

1
60

14

1
分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]

由上图得知人数最多的inviter为617624

1
SELECT * FROM member where invicode LIKE "617624";

image-20250531145338521

1
骆潇原

15

1
分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:1000000]
1
2
SELECT SUM(moneylog_money) FROM moneylog WHERE moneylog_status = '+';
SELECT SUM(moneylog_money) FROM moneylog WHERE moneylog_status = '-';

image-20250531150002085

image-20250531150004031

相减得到

image-20250531150046358

1
15,078,796.38

完结撒花,yeh