文章总结： 这篇文章是2025年第二届平航杯电子数据取证竞赛手机部分的WriteUp，详细记录了13个竞赛题目的解答过程。内容包括手机取证技术、APK逆向分析、木马软件检测、AES解密、脱壳技术、IMEI获取等。作者通过火眼取证工具、雷电模拟器、JADX反编译器等工具，分析了木马APP的安装来源、hash值、应用名称、加固方式，以及木马如何控制摄像头、实现持久化等。文章还涉及通过输入法粘贴板获取身份证信息确定用户所在地等技术细节，适合电子取证初学者参考学习。 综合评分： 75 文章分类： 移动安全,电子取证,逆向分析,恶意软件,应急响应

---

2025第二届“平航杯”电子数据取证竞赛-手机部分WriteUp

原创

落寞的鱼

鱼影安全

2025年11月21日 21:30 浙江

点击上方蓝字·关注我们

前言：

最近要参加第二届全国行业赛-电子取证赛道！

刚入门，记录复现过程，欢迎指正，感谢观看！

csdn主页：https://blog.csdn.net/Aluxian_?type=lately

---

手机部分：

检材：https://pan.baidu.com/s/19seDZo0135_1llw_ioAR4Q?pwd=f91u容器密码：早起王的爱恋日记❤time：2025-11-21

1.该检材的备份提取时间（UTC）(格式：2020/1/1 01:01:01)

UTC时间转换 时差是8

正确答案：2025/4/15 10:11:18

2.分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)

反编译下，看到FlagActivity 雷电 AI 分析下  AES 加密

先解密密钥 得到密钥:weZl_d0wn_sbwyz_  找到密文 解密:

80, -52, 4, 49, 53, 6, -128, -61, 10, 94, -59, 25, 82, 115, 109, 12

正确答案：Key_1n_the_P1c

3.分析手机内Puzzle_Game拼图程序，请问最终拼成功的图片是哪所大学(格式：浙江大学)

这题复现也比较有意思 浙江警察对面就是浙江医科大学(别问为啥知道)

之前认识医科大的妹子 坐地铁往池化街方向,这该死的回忆！

好了 上面开玩笑的！！ 继续往下走！

这题还有二十四节气知识点 考考你们 小寒是几号！！！

一般公众号发布时间都是节气前几天或者当天

行这道社工题就过了有点东西但不多

正确答案：浙江中医药大学

4.分析倩倩的手机检材,木马app是怎么被安装的（网址）(格式：http://127.0.0.1:1234/)

火眼-自带浏览器-历史记录  fix2_sign这个apk

正确答案：http://192.168.180.107:6262/

5.分析倩倩的手机检材,检材内的木马app的hash是什么(格式：大写md5)

swap case 可以转换大小写 离线好用！

正确答案：23A1527D704210B07B50161CFE79D2E8

6.分析倩倩的手机检材,检材内的木马app的应用名称是什么(格式：Baidu)

APP分析-APP 列表 导出发现9条威胁 是木马文件

正确答案：Google Service Framework

7.分析倩倩的手机检材,检材内的木马app的使用什么加固(格式：腾讯乐固)

正确答案：梆梆加固

8.分析倩倩的手机检材,检材内的木马软件所关联到的ip和端口是什么(格式：127.0.0.1:1111)

尝试使用雷电分析 APP 没有脱壳成功  51al 脱壳：

https://56.al/file.php?hash=23a1527d704210b07b50161cfe79d2e8

脱壳成功得到一个 classes.dex 文件

jadx 反编译 找到 config 看到监听的 ip 和端口

正确答案：92.67.33.56:8000

9.该木马app控制手机摄像头拍了几张照片(格式：1)

/tmp/ratlog.txt中记录了日志，拍摄了3张图片

正确答案：3

10.木马APP被使用的摄像头为(格式：Camera)

0 后置摄像头

1 前置摄像头   二选一即可

正确答案：Front Camera

11.分析倩倩的手机检材,木马APK通过调用什么api实现自身持久化(格式：JobStore)

查看脱壳后的文件classes.dex  保持后台持续工作

正确答案：JobScheduler

12.分析倩倩的手机检材,根据倩倩的身份证号请问倩倩来自哪里（格式：北京市西城区）

火眼-百度输入法（小米版）-粘贴板

看到身份证特征：31010420010811024

这里分析了好几次才出来（可能没选全）

正确答案：上海市徐汇区

13.此手机检材的IMEI号是多少(格式：1234567890)

搜索关键字IMEI 但是大写没搜到 小写可以 imei

正确答案：865372026366143

总结：

毕竟学习了还是总结下，对于这套题的手机部分来说感觉还行，我也是刚入门学习：首先是AES解密的话写脚本或者工具，其实还可以改文件无限制然后可以直接得到flag，喵喵喵 我刚入门不会改，然后就是脱壳这个第一次做，输入法还有点小问题没识别出来，这样就看不到粘贴板，也可以去数据库里面找。

需要交流或者培训可以联系小编加群交流！

2025第二届全国行业赛-电子取证师需要资源dd

这个应该是决赛大纲，感觉好难555

排版创作不宜如果对你有帮助，可以支持一下小编！

关注我们

欢迎关注鱼影安全社区,专注CTF,职业技能大赛中高职技能培训,信息安全评估高职组赛项,金砖一带一路诸暨技能大赛:企业信息安全赛道-攻防治理赛道-首届金砖虚拟网络建设赛道-创信大赛,世界技能大赛省选拔赛,企业赛,行业赛,电子取证和CTF系列培训,工控CTF系列，第二届网络安全行业职业技能大赛（电子取证师、渗透测试员、网络安全管理员、网络信息审核员）等。

鱼影安全团队招人啦,有感兴趣的师傅可以私信我

需要学习数据安全管理员和CTF安全培训,可以联系小编

点分享

点收藏

点在看

点点赞

---