2025美亚杯个人赛部分wp
字数 2343 2025-11-24 12:14:15

2025美亚杯个人赛电子取证技术要点解析

赛事概述

2025美亚杯个人赛是一项电子数据取证竞赛,参赛者需要通过分析提供的检材(包括智能手机镜像、USB设备镜像等)来解答一系列取证相关问题。本教学文档将详细解析比赛中的关键技术点和解题思路。

智能手机取证分析

基础信息识别

操作系统识别

  • 方法:查看图片EXIF信息或系统配置文件
  • 正确答案:iOS 17.1.1

设备标识信息

  • IMEI号码数量:1个
  • 正确IMEI:357328098205226
  • 最后使用的SIM卡ICCID:89852122206020998419
  • Apple ID:whoishogan@gmail.com(注意大小写和符号准确性)

网络连接信息

  • 蓝牙地址:C0:9A:D0:DA:B9:18(格式必须为xx:xx:xx:xx:xx:xx)
  • 个人热点名称:iPhone(保持原文大小写和格式)
  • 未连接过的SSID:Hongn Home

无线网络分析

Wi-Fi连接记录

  • 首次连接"CMHK"网络时间:2025-05-10 09:59:32(GMT+8)
  • 时间格式必须严格遵守:yyyy-MM-dd HH:mm:ss

安装的通讯软件分析

  • 已安装软件:WhatsApp、WeChat、WhatsApp Business
  • 未安装软件:QQ
  • 正确答案:B(只有i, ii和iii)

软件版本信息

  • WhatsApp版本:731647702.0(保持原文格式)

文件传输分析

文件传输软件

  • 安装的传输软件:
    • com.apple.Sharing.AirDropUI
    • com.lenovo.anyshare
    • com.estmob.paprika
  • 实际使用的传输软件:com.estmob.paprika

传输详情

  • 设备信息:
    • 装置名称:Apple iPhone11,6
    • 装置ID:3836403626142
  • 传输方向:传送方
  • 传输文件类型:屏幕截图
  • 接收设备:Samsung SM-G930F

浏览器和云存储分析

浏览器信息

  • 未安装的浏览器:Chrome、Firefox、edge
  • Safari书签数量:9个

搜索记录分析

  • 确认的搜索词:
    • 非法处理尸体最高刑罚
    • escape room hong kong
    • cypto wallet

iCloud存储

  • 储存到iCloud的图片数量:90张
  • 通过截图功能获取的图片数量:15张

多媒体文件分析技术

文件溯源技术

GIF图片来源分析

  • 分析方法:检查相邻的MOV视频文件元数据
  • 关键发现:使用010 Editor分析视频文件发现软件标识
  • 拍摄软件:infltr

AirDrop传输分析

SQL查询技术

-- 统计AirDrop传输文件数量
SELECT COUNT(*) AS AirDrop_Total
FROM ZASSET AS a
JOIN ZADDITIONALASSETATTRIBUTES AS aa
 ON a.ZADDITIONALATTRIBUTES = aa.Z_PK
WHERE aa.ZIMPORTEDBYBUNDLEIDENTIFIER = 'com.apple.sharingd';

-- 获取AirDrop传输文件详情
SELECT 
 a.ZFILENAME, 
 a.ZUNIFORMTYPEIDENTIFIER, 
 aa.ZIMPORTEDBYBUNDLEIDENTIFIER
FROM ZASSET AS a
JOIN ZADDITIONALASSETATTRIBUTES AS aa 
 ON a.ZADDITIONALATTRIBUTES = aa.Z_PK
WHERE aa.ZIMPORTEDBYBUNDLEIDENTIFIER = 'com.apple.sharingd';

传输文件信息

  • 传输的文件:IMG_0084.MOV
  • 开始传输时间:2025-04-20 16:46:30(GMT+8)

元数据分析技术

文件关联分析

  • 同时在Files和Photos应用中的多媒体文件识别
  • 原文件名称追溯:5005.JPG → IMG_0079.JPG
  • 原文件创建时间:2025-04-16 16:14:35

拍摄时间线分析

  • IMG_0014.MOV与IMG_0016.MOV之间分析
  • 关键发现:存在IMG_0015.MOV但未储存到相册
  • 正确答案:有拍摄,但没有储存

WhatsApp取证分析

群组信息提取

群组管理结构

  • 群组ID格式识别:120363417464187135@g.us
  • 管理员识别:85254974406@s.whatsapp.net等

社群信息

  • 社群名称:We are 3
  • 投票活动统计:总共3个投票活动
  • 参与投票:在2个活动中作出了投票

犯罪活动分析

群组对话分析

  • 目标群组:IQ COIN 💰💰💰💰💰
  • 犯罪类型判断:抢劫
  • 群组建立者WhatsApp ID:85254974406@s.whatsapp.net
  • 建立时间:2025/4/25 16:57:54

文件传输分析

PDF内容提取

  • 传输时间:2025-04-29 08:31:02
  • 群组ID:120363401289578356
  • PDF内容:0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638(疑似加密货币地址)

USB设备取证分析

分区结构分析

基础信息

  • 分区数量:4个
  • 文件系统类型:FAT32
  • 容量分析:总容量16GB

分区详情

  • 文件系统组成:FAT32、exFAT、NTFS
  • 分区标签:"SanDisk"
  • exFAT分区容量:16GB

加密文件分析

压缩文件属性

  • 创建日期:2025-05-15
  • 加密状态:已加密
  • 解压密码:54d#e(nm)

引导特性分析

  • 可引导U盘识别
  • EFI分区存在确认
  • 分区容量分析:存在小于500MB的分区

磁盘镜像分析

xcontainer文件属性

  • 大小:4943872字节
  • 文件系统:FAT
  • 块大小:128位
  • 备份头分析:无嵌入式备份头

关键技术要点总结

取证方法论

  1. 系统化分析:按照从基础信息到具体应用的顺序进行分析
  2. 交叉验证:通过多个数据源验证同一信息
  3. 元数据利用:充分利用文件系统元数据和应用程序元数据

时间分析技巧

  • 时区转换:确保所有时间戳统一转换为GMT+8
  • 时间格式:严格遵守yyyy-MM-dd HH:mm:ss格式要求
  • 时间线构建:通过文件时间戳重建事件序列

数据关联分析

  • 应用程序间数据流转跟踪
  • 同一文件在不同位置的关联分析
  • 网络活动与本地操作的关联

工具使用要点

  • 010 Editor:用于二进制文件分析
  • SQL查询:用于数据库数据提取
  • 专业取证工具:用于分区分析和文件恢复

本教学文档涵盖了2025美亚杯个人赛的主要技术要点,为电子数据取证学习者提供了完整的技术参考框架。

2025美亚杯个人赛电子取证技术要点解析 赛事概述 2025美亚杯个人赛是一项电子数据取证竞赛,参赛者需要通过分析提供的检材(包括智能手机镜像、USB设备镜像等)来解答一系列取证相关问题。本教学文档将详细解析比赛中的关键技术点和解题思路。 智能手机取证分析 基础信息识别 操作系统识别 方法:查看图片EXIF信息或系统配置文件 正确答案:iOS 17.1.1 设备标识信息 IMEI号码数量:1个 正确IMEI:357328098205226 最后使用的SIM卡ICCID:89852122206020998419 Apple ID:whoishogan@gmail.com(注意大小写和符号准确性) 网络连接信息 蓝牙地址:C0:9A:D0:DA:B9:18(格式必须为xx:xx:xx:xx:xx:xx) 个人热点名称:iPhone(保持原文大小写和格式) 未连接过的SSID:Hongn Home 无线网络分析 Wi-Fi连接记录 首次连接"CMHK"网络时间:2025-05-10 09:59:32(GMT+8) 时间格式必须严格遵守:yyyy-MM-dd HH:mm:ss 安装的通讯软件分析 已安装软件:WhatsApp、WeChat、WhatsApp Business 未安装软件:QQ 正确答案:B(只有i, ii和iii) 软件版本信息 WhatsApp版本:731647702.0(保持原文格式) 文件传输分析 文件传输软件 安装的传输软件: com.apple.Sharing.AirDropUI com.lenovo.anyshare com.estmob.paprika 实际使用的传输软件:com.estmob.paprika 传输详情 设备信息: 装置名称:Apple iPhone11,6 装置ID:3836403626142 传输方向:传送方 传输文件类型:屏幕截图 接收设备:Samsung SM-G930F 浏览器和云存储分析 浏览器信息 未安装的浏览器:Chrome、Firefox、edge Safari书签数量:9个 搜索记录分析 确认的搜索词: 非法处理尸体最高刑罚 escape room hong kong cypto wallet iCloud存储 储存到iCloud的图片数量:90张 通过截图功能获取的图片数量:15张 多媒体文件分析技术 文件溯源技术 GIF图片来源分析 分析方法:检查相邻的MOV视频文件元数据 关键发现:使用010 Editor分析视频文件发现软件标识 拍摄软件:infltr AirDrop传输分析 SQL查询技术 传输文件信息 传输的文件:IMG_ 0084.MOV 开始传输时间:2025-04-20 16:46:30(GMT+8) 元数据分析技术 文件关联分析 同时在Files和Photos应用中的多媒体文件识别 原文件名称追溯:5005.JPG → IMG_ 0079.JPG 原文件创建时间:2025-04-16 16:14:35 拍摄时间线分析 IMG_ 0014.MOV与IMG_ 0016.MOV之间分析 关键发现:存在IMG_ 0015.MOV但未储存到相册 正确答案:有拍摄,但没有储存 WhatsApp取证分析 群组信息提取 群组管理结构 群组ID格式识别:120363417464187135@g.us 管理员识别:85254974406@s.whatsapp.net等 社群信息 社群名称:We are 3 投票活动统计:总共3个投票活动 参与投票:在2个活动中作出了投票 犯罪活动分析 群组对话分析 目标群组:IQ COIN 💰💰💰💰💰 犯罪类型判断:抢劫 群组建立者WhatsApp ID:85254974406@s.whatsapp.net 建立时间:2025/4/25 16:57:54 文件传输分析 PDF内容提取 传输时间:2025-04-29 08:31:02 群组ID:120363401289578356 PDF内容:0xe36D4bCf0132B8Dc7317C2Fb9bfa1845629F6638(疑似加密货币地址) USB设备取证分析 分区结构分析 基础信息 分区数量:4个 文件系统类型:FAT32 容量分析:总容量16GB 分区详情 文件系统组成:FAT32、exFAT、NTFS 分区标签:"SanDisk" exFAT分区容量:16GB 加密文件分析 压缩文件属性 创建日期:2025-05-15 加密状态:已加密 解压密码:54d#e(nm) 引导特性分析 可引导U盘识别 EFI分区存在确认 分区容量分析:存在小于500MB的分区 磁盘镜像分析 xcontainer文件属性 大小:4943872字节 文件系统:FAT 块大小:128位 备份头分析:无嵌入式备份头 关键技术要点总结 取证方法论 系统化分析 :按照从基础信息到具体应用的顺序进行分析 交叉验证 :通过多个数据源验证同一信息 元数据利用 :充分利用文件系统元数据和应用程序元数据 时间分析技巧 时区转换:确保所有时间戳统一转换为GMT+8 时间格式:严格遵守yyyy-MM-dd HH:mm:ss格式要求 时间线构建:通过文件时间戳重建事件序列 数据关联分析 应用程序间数据流转跟踪 同一文件在不同位置的关联分析 网络活动与本地操作的关联 工具使用要点 010 Editor:用于二进制文件分析 SQL查询:用于数据库数据提取 专业取证工具:用于分区分析和文件恢复 本教学文档涵盖了2025美亚杯个人赛的主要技术要点,为电子数据取证学习者提供了完整的技术参考框架。