当前位置: 首页 > 新闻中心 > 技术分享 > 干货|第六届“美亚杯”flash_chat解题研究与取证小程序实现

干货|第六届“美亚杯”flash_chat解题研究与取证小程序实现

一、概述


“美亚杯”第六届中国电子数据取证大赛已圆满落幕,本次资格赛、团体赛题量、检材数均为历届之最,其中,团体赛中涉及即时通讯应用flash_chat app的相关题目很多队伍都马失前蹄、折戟沉沙。据了解,目前国内的取证软件都不支持flash_chat的解析。


“学习无止境,探索出真知”。本届赛事,美亚柏科取证小程序研发团队派出参赛队伍参与,由于比赛时间和网络条件的限制,赛后团队通过对团体赛的复盘,获取了flash_chat的应用信息,并且利用取证小程序快速开发,迅速支持flash_chat app的数据解析,并以此推测第六届美亚杯团体赛第65-69题目的答案。


就让我们一起跟随小程序团队的脚步开始解题吧!

2020-11-17_112740.png

2020-11-17_112811.png

flash_chat相关题目


二、flash_chat应用分析


从Bob的三星S2手机镜像中并未获取到flash_chat的相关信息。


联想到个人赛题目中Bob和Alice的信息往来,通过使用取证大师的【实时搜索】功能对Alice的LG-D855手机进行flash_chat相关字样的搜索,可以找到flash_chat的相关信息。


图1-1.jpg

取证大师实时搜索结果


对两个搜索出来的文件夹进行分析,发现base.apk。在安卓模拟器上安装,确认是聊天软件flash chat。使用取证大师的【哈希计算】功能,对apk进行SHA-256计算,可得知65题的答案为B。


1605667582832632.png

模拟器中的flash_chat应用


1605667613733708.png

APK文件的SHA-256值


对于Android系统,用户数据一般放在内部存储的data目录,通过对data/co.splusbaby.flash_chat目录下的文件格式进行分析,可以得知flash_chat的聊天信息存储在userdata (ExtX)/Root/data/co.splusbaby.flash_chat/databases/firestore.%5BDEFAULT%5D.flash-chat-110d8.%28default%29文件中,并且是未加密的sqlite数据库,可以得知66题选B。


1605667724365671.jpg

flash_chat的数据库文件


三、取证小程序解析flash_chat通讯信息


通过对flash_chat的通讯信息数据库结构内容的分析,可以通过取证大师的取证小程序可视化开发,快速生成小程序,提升支撑这些小众应用的解析能力。


2020-11-17_130729.png

flash_chat通讯信息原始数据结构


取证大师支持对sqlite3数据库的可视化编程,通过引导自动生成解析代码,再对代码进行添加自定义字段、时间转换等微调,即可支持对flash_chat通讯信息的解析。

2020-11-17_133911.png

2020-11-17_134255.png

2020-11-17_134801.png

2020-11-17_135209.png

2020-11-17_135554.png

2020-11-17_135835.png

flash_chat可视化编程

2020-11-17_140100.png

2020-11-17_145540.png

flash_chat执行结果

 

目前该取证小程序已经上传取证小程序共享平台,欢迎大家下载学习。


共享平台2-3.png

flash_chat解析小程序上线


四、总结


取证小程序是一种运行于取证软件,利用python脚本对电子数据进行提取和分析的应用;用户可自主编程及分享,无需安装即可使用,是一种用户参与和实现取证能力无限拓展的全新解决方案。


除了应用程序数据提取,还可利用取证小程序实现取证过程中常用的实用小工具,扩展取证软件本身的功能;也可使用提供的数据获取接口,读取已提取到的数据进行研判分析,实现数据分析功能。未来取证小程序将会持续扩展新接口,以便用户能快速实现完全自定义的取证功能和取证流程。也欢迎广大用户参与进来,共同建设取证小程序生态圈。