取证小程序高效解析Signal通讯软件|“美亚杯”赛后复盘
2022年11月11日-13日,“美亚杯”第八届中国电子数据取证大赛暨网络安全执法新技术研讨会在美亚柏科培训基地成功举办。来自各地的取证行业精英、院校人才组成1095支队伍、共计超3000名选手参与本次比拼,赛事规模再创新高。(点击划线处可查看赛事详情)
本届“美亚杯”考点涵盖Windows、Linux、macOS三大主流系统,涉及计算机和手机取证分析、服务器数据库分析、网络抓包分析等技术领域。其中,在资格赛中涉及即时通讯应用Signal的相关题目难倒许多参赛选手。
早在上一届“美亚杯”,取证小程序平台便已经推出对Signal软件解析的小程序。正所谓“学海无涯,心存高远”,在本届赛事中,美亚柏科取证小程序研发团队派出参赛队伍,在实践中检验实力。
在比赛过程中,小程序研发人员发现Signal软件版本已更新,原有程序代码不像以往那样可以直接解析出数据。经过短时间内新旧版本的Signal软件比对分析,小程序研发人员发现新版本的Signal软件数据库结构发生细微变化,在原有代码的基础上进行微调,程序便能正常运行,并以此完美解答第八届美亚杯资格赛第37-42题。
Signal应用分析
图1 新旧版本的Signal数据库差异
根据对旧版本Signal通讯软件的分析可知,Signal通讯软件将数据存储在%AppData%目录下Roming\Signal文件夹(如:C:\Users\Admin\AppData\Roaming\Signal)。聊天记录存储在%AppData%\Roming\Signal\sql\db.sqlite文件中。
图2 数据库位置
在配置文件“%AppData%\Roming\Signal\config.json”文件中可以找到数据库密码,如下图:
图 3数据库密码
图4 数据库解密配置参数
取证小程序解析Signal通讯信息
在此次“美亚杯”资格赛中,与Signal软件相关的题目总共有14分,其分量之重不言而喻。
图5 资格赛Signal相关题目
基于对原有Signal取证小程序的更新,快速开发出可直接查看即时通讯应用Signal的联系人、聊天记录、聊天附件、消息ID、附件导出路径等相关信息的小程序。
通过运行Signal小程序,可以在林浚熙计算机中知道他在Signal即时通讯软件中有五个联系人。在比对林浚熙手机号85259308538后,可知联系人中有一个为林浚熙本人,所以林浚熙在Signal的联系人有4个,如下图:
图6 联系人信息
通过查看好友聊天信息,可以发现林浚熙曾与一位名为King的人对话,再通过联系人信息,可发现King为备注名,且他的电话为85270711901。
图7 联系人电话
图9 转账编码
图10 钉钉查看入口
图11 Signal取证小程序
取证小程序简单易学、灵活扩展,当遇到取证软件暂不支持解析的计算机、手机、汽车及物联网等设备的新型应用软件时,一线工作人员可自行编写取证小程序,快速完成取证工作,无需等待取证软件更新版本。
热文
全国一体化政务大数据体系建设提速,美亚柏科锻造发展“强引擎”
热文
全国一体化政务大数据体系加快构建,美亚柏科助力安全保障体系建设
热文
聚焦2022年“世界互联网大会”,美亚柏科再谈数字经济时代下的发展与安全
热文