参考:https://www.cnblogs.com/WXjzc/p/18736022
手机取证
手搓版
这个题的关键点在于手机截图,可以从手机截图里获取到很多有用的信息
将文件用FTK挂载起来,很多com.miui的包名,说明这是一个小米手机。
发现不存在图片默认的保存路径 /storage/emulated/(0/)DCIM/Camera
因为给的检材是data文件夹内,进不去/storage 就需要在 /media/0/Android/data/com.miui.gallery/files/gallery_disk_cache/full_size 中找到截图
这些截图几乎包含了下面的答案,软件列表,直播软件,网易会议,白马地图等等
1.登录的直播APP的IDX是什么?[标准格式:25236541]
2.目前直播的等级名称是什么?[标准格式:碌碌无为]
35248617
一无所有
如果没发现截图捏,那就去发现截图(bushi,可以尝试去找直播软件的数据库。
先找到直播软件是什么,找到小米商店的数据库,看一下都下载了啥(从文件系统中查看包名,挨个搜太抽象了,不到万不得已不要这样干)
在数据库中找到应用以及包名,烟雨直播
去这个包名下找数据库
在miao.db库中的login表中可以找到id
xml中也有,只不过特征不明显
直播等级找不到,去找图片吧(doge)
3.地图中哪座山有绝望坡?[标准格式:太行山]
武功山
还是图片
百度也可以
找数据库也可以,题目提到绝望坡,说明嫌疑人可能通过浏览器或者地图软件搜索过,根据上面的安装列表找地图软件,白马地图和蔚蓝地图
白马地图是用户自己安装的,有安装时间,肯定先找这个
4.手机的历史SIM卡中,中国电信卡的IMSI是多少?[标准格式:123456789]
460115143563428
截图上的是IMEI,搓数据库
/data/user_de/0/com.android.providers/telephony/databases/telephony.db
5.1月22日16:40的会议号是多少?[标准格式:xxx-xxx-xxx]
6.网易会议中个人会议号是多少?[标准格式:2523654199]
312-118-071
2679823922
依旧截图
没截图就翻数据库,网易会议,这里有一点蛛丝马迹,但是不能确定这个就是四点的会议,数据库内没有个人会议号
在 /media/0/Android/data/com.netease.yunxin.meeting/files/nim/extra_log/imkit_log 下有个日志文件,搜这个人的名称,找到个人会议号
2679823922
继续往下翻
下一个搜时间戳
312118071
找到会议号
7.记账软件中一共记了几笔?[标准格式:9]
8.谁给了机主100000?[标准格式:某某]
4
勇哥
截图
还是tmd截图
要是还没找到截图的话,快去找截图吧,别翻破数据库了
/data/com.csmountainaccount.easy/database
东西没在db里面,在这个db_manager文件中
一个四笔,type中1表示支出,2表示收入
9.聊天软件是否需要手机号登录?[标准格式:填写是或者否]
10.机主的给对方的活有多少钱?[标准格式:53100]
否
30000
聊天软件是盒子IM,自己下载试一下就知道了,而且数据库中用的是username和password
30000
11.机主的手机号是多少?[标准格式:13652492155]
17751125237
出截图
在网易会议日志中提到过
12.手机的IMEI1后四位是多少?[标准格式:2536]
1055
截图
上面问IMSI的数据库中有的是IMEI2
/data/user_ed/0/com.android.phone/shared_prefs/com.android.phone_preferences.xml
13.手机上一共有几个地图软件?[标准格式:9]
3
白马、蔚蓝、百度
