美亚杯个人赛复盘部分之取证小程序高效解析Signal通讯软件
2022-11-20 21:17:12 Author: 网络安全与取证研究(查看原文) 阅读量:23 收藏

本届“美亚杯”考点涵盖Windows、Linux、macOS三大主流系统,涉及计算机和手机取证分析、服务器数据库分析、网络抓包分析等技术领域。其中,在资格赛中涉及即时通讯应用Signal的相关题目难倒许多参赛选手

早在上一届“美亚杯”,取证小程序平台便已经推出对Signal软件解析的小程序。正所谓“学海无涯,心存高远”,在本届赛事中,美亚柏科取证小程序研发团队派出参赛队伍,在实践中检验实力。

在比赛过程中,小程序研发人员发现Signal软件版本已更新,原有程序代码不像以往那样可以直接解析出数据。经过短时间内新旧版本的Signal软件比对分析,小程序研发人员发现新版本的Signal软件数据库结构发生细微变化,在原有代码的基础上进行微调,程序便能正常运行,并以此完美解答第八届美亚杯资格赛第37-42题

Signal应用分析

图1 新旧版本的Signal数据库差异

根据对旧版本Signal通讯软件的分析可知,Signal通讯软件将数据存储在%AppData%目录下Roming\Signal文件夹(如:C:\Users\Admin\AppData\Roaming\Signal)。聊天记录存储在%AppData%\Roming\Signal\sql\db.sqlite文件中。

图2 数据库位置

在配置文件“%AppData%\Roming\Signal\config.json”文件中可以找到数据库密码,如下图:

图 3数据库密码

图4 数据库解密配置参数

取证小程序解析Signal通讯信息

在此次“美亚杯”资格赛中,与Signal软件相关的题目总共有14分,其分量之重不言而喻。

图5 资格赛Signal相关题目

基于对原有Signal取证小程序的更新,快速开发出可直接查看即时通讯应用Signal的联系人、聊天记录、聊天附件、消息ID、附件导出路径等相关信息的小程序。

通过运行Signal小程序,可以在林浚熙计算机中知道他在Signal即时通讯软件中有五个联系人。在比对林浚熙手机号85259308538后,可知联系人中有一个为林浚熙本人,所以林浚熙在Signal的联系人有4个,如下图:

图6 联系人信息

通过查看好友聊天信息,可以发现林浚熙曾与一位名为King的人对话,再通过联系人信息,可发现King为备注名,且他的电话为85270711901。

图7 联系人电话

在林浚熙和King的对话中,我们可以看到有两封附件,附件保存路径如下图:

图8 附件

打开附件导出路径即可看到林浚熙与King的转账编码。

图9 转账编码

秉承着发现问题就解决问题的工作态度,研发人员第一时间解决问题。以上就是通过取证小程序获取到的Signal软件相关信息,目前该取证小程序新版本已经上传到取证小程序共享平台,欢迎大家下载学习。

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg3NTU3NTY0Nw==&mid=2247485237&idx=1&sn=cc5dfbd521b60cd5537b9c2f8430e61f&chksm=cf3e2705f849ae13ddc4f272420de4453b60e994ae9e3cb357ba011965ea01d6d0ff97c704b2#rd
如有侵权请联系:admin#unsafe.sh