随着越来越多,越来越好用的模拟器出现,抛弃EPlay对我来说变成了一个正确的选择
狗妈重工集团
@lingyesoul233
我是fw
狗妈重工集团 (Chinese)
狗妈重工集团,是一个专注于营销行业的Telegram频道。该频道提供最新的营销策略、市场动态和行业趋势分析,旨在帮助营销人员、企业主和创业者了解市场需求,制定有效的营销计划。频道内定期分享各种营销案例、成功经验和实用技巧,让用户在营销领域保持竞争力。狗妈重工集团的目标是成为每一位关注者的营销导师,帮助他们实现业务增长和成功。如果你是对营销行业感兴趣或正在从事营销工作的人士,那么加入狗妈重工集团这个频道,获取最新最有用的营销信息!
狗妈重工集团
06 Nov, 08:31
Telegram 数据取证要点
1. 有效法律证据形式
根据 GA/T 1564-2019《法庭科学 现场勘查电子物证提取技术规范》,应对现场、屏幕进行拍照或录像,记录物证的系统时间和北京时间;对有密码保护的数据提取并保存在有唯一性编号的专用存储介质中。
根据《公安机关办理刑事案件电子数据取证规则》第八条,需要及时固定相关证据时,可采用打印、拍照或录像等方式。第二十三条,对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
2. 取证要点难点
数据解密(Android 上应用数据被 FDE/FBE 保护,开机第一次输入密码后才会解密数据),数据保持,数据防销毁
3. 分点解析
由于 Telegram 功能特性,聊天的一方可以为另一方删除聊天记录,扣押到检材后需要立刻断开网络,不要轻易重新连接网络,以免证据被远程删除;可重点关注被设置了定时删除或加密的聊天;可以通过截图、录屏等方式保存证据,对获取到的数据计算哈希值校验并留存。通过 Telegram Desktop 也可以直接导出嫌疑账号数据,但是需要注意账号新登录官方版 telegram desktop 后尝试直接导出数据会提示需要等待24小时,并且该操作会向其他登录会话发送提醒。也有其他第三方 telegram 专用取证软件可用,但一定注意提取范围不要设置过大,避免数据量过大触发服务端安全保护。
对于群聊数据遭到批量损毁的情况,若被控制账号有群聊管理员权限,可使用脚本导出群聊近期操作记录,如 https://gist.github.com/avivace/4eb547067e364d416c074b68502e0136
根据设备类型不同,也有第三方数据提取软件可用,如针对 Android 平台的多个取证软件,这些取证工具一般使用漏洞提升权限然后读取目标应用的私有数据,常见的被利用漏洞有 CVE-2024-0044(AOSP 框架漏洞,由 Meta Red Team X 及我报告)、CVE-2024-31317(AOSP 框架漏洞,由 Meta Red Team X 报告)、CVE-2024-4610(Arm GPU 驱动漏洞,影响除高通平台外大部分平台)及部分厂商如三星自己的漏洞等。取证公司仍在持续挖掘漏洞并转化为利用,如奇安信旗下盘古石取证团队近日宣布再次突破 Android 11 - Android 14 最新安全补丁提权:https://mp.weixin.qq.com/s/MorsW-Vx_Eb_WnqFtj_T5Q
部分设备可能存在设备管理 app 等,可能导致检材上的数据被擦除,可以使用漏洞对相关管理 app 进行禁用或无效化处理。除了传统的垂直提权漏洞,其他类型的漏洞也有可能被利用。本月 Android 安全补丁就修复了我发现的一个可使设备管理机制完全失效的漏洞 CVE-2024-43081,可能会被积极利用。
部分第三方系统存在额外安全保护机制,如设备闲置过指定时间后启动额外的数据保护机制如重启,应阻止设备休眠。
仅做备份处理,希望大家都用不到,更希望大家的信息都没有被取证必要。
1. 有效法律证据形式
根据 GA/T 1564-2019《法庭科学 现场勘查电子物证提取技术规范》,应对现场、屏幕进行拍照或录像,记录物证的系统时间和北京时间;对有密码保护的数据提取并保存在有唯一性编号的专用存储介质中。
根据《公安机关办理刑事案件电子数据取证规则》第八条,需要及时固定相关证据时,可采用打印、拍照或录像等方式。第二十三条,对公开发布的电子数据、境内远程计算机信息系统上的电子数据,可以通过网络在线提取。
2. 取证要点难点
数据解密(Android 上应用数据被 FDE/FBE 保护,开机第一次输入密码后才会解密数据),数据保持,数据防销毁
3. 分点解析
由于 Telegram 功能特性,聊天的一方可以为另一方删除聊天记录,扣押到检材后需要立刻断开网络,不要轻易重新连接网络,以免证据被远程删除;可重点关注被设置了定时删除或加密的聊天;可以通过截图、录屏等方式保存证据,对获取到的数据计算哈希值校验并留存。通过 Telegram Desktop 也可以直接导出嫌疑账号数据,但是需要注意账号新登录官方版 telegram desktop 后尝试直接导出数据会提示需要等待24小时,并且该操作会向其他登录会话发送提醒。也有其他第三方 telegram 专用取证软件可用,但一定注意提取范围不要设置过大,避免数据量过大触发服务端安全保护。
对于群聊数据遭到批量损毁的情况,若被控制账号有群聊管理员权限,可使用脚本导出群聊近期操作记录,如 https://gist.github.com/avivace/4eb547067e364d416c074b68502e0136
根据设备类型不同,也有第三方数据提取软件可用,如针对 Android 平台的多个取证软件,这些取证工具一般使用漏洞提升权限然后读取目标应用的私有数据,常见的被利用漏洞有 CVE-2024-0044(AOSP 框架漏洞,由 Meta Red Team X 及我报告)、CVE-2024-31317(AOSP 框架漏洞,由 Meta Red Team X 报告)、CVE-2024-4610(Arm GPU 驱动漏洞,影响除高通平台外大部分平台)及部分厂商如三星自己的漏洞等。取证公司仍在持续挖掘漏洞并转化为利用,如奇安信旗下盘古石取证团队近日宣布再次突破 Android 11 - Android 14 最新安全补丁提权:https://mp.weixin.qq.com/s/MorsW-Vx_Eb_WnqFtj_T5Q
部分设备可能存在设备管理 app 等,可能导致检材上的数据被擦除,可以使用漏洞对相关管理 app 进行禁用或无效化处理。除了传统的垂直提权漏洞,其他类型的漏洞也有可能被利用。本月 Android 安全补丁就修复了我发现的一个可使设备管理机制完全失效的漏洞 CVE-2024-43081,可能会被积极利用。
部分第三方系统存在额外安全保护机制,如设备闲置过指定时间后启动额外的数据保护机制如重启,应阻止设备休眠。
仅做备份处理,希望大家都用不到,更希望大家的信息都没有被取证必要。
狗妈重工集团
16 Oct, 06:11
南加已发布https://www.blue-plus.net/read.php?tid-2337860.html
希尔薇Fix 版本说明:
该版本使用EPlay1.2,采用释放游戏文件后再启动游戏的方式
游戏bug修复参考了https://tieba.baidu.com/p/9216908838?see_lz=0
该版本简单测试能玩,因为明天有早八就早点睡了没玩多久。
大小说明:仅对希尔薇的衣服(那个目录里应该都是)进行了狠狠地压缩,其他图片文件不变,涩涩还是原图的。
安装说明:EPlay目前只能导出不含游戏的启动器APK(与当前APK只有没有游戏包的区别)后手动安装\n可以减少内存占用,但会导致软件将无法在清除数据后直接重装游戏
导出的APK位于/sdcard/Download/launcher.apk
安装后大小说明:首次完成安装后大约2g,安装启动器后大约为1g,随着游玩时间增长,占用空间会变大是正常现象。
不知道为什么FileProvider工作不正常,这导致EPlay的应用安装不可用
下载密码jPHxKpCR
更换为再次修复版
流量不够没再发tg了,链接是onedrive
希尔薇Fix 版本说明:
该版本使用EPlay1.2,采用释放游戏文件后再启动游戏的方式
游戏bug修复参考了https://tieba.baidu.com/p/9216908838?see_lz=0
该版本简单测试能玩,因为明天有早八就早点睡了没玩多久。
大小说明:仅对希尔薇的衣服(那个目录里应该都是)进行了狠狠地压缩,其他图片文件不变,涩涩还是原图的。
安装说明:EPlay目前只能导出不含游戏的启动器APK(与当前APK只有没有游戏包的区别)后手动安装\n可以减少内存占用,但会导致软件将无法在清除数据后直接重装游戏
导出的APK位于/sdcard/Download/launcher.apk
安装后大小说明:首次完成安装后大约2g,安装启动器后大约为1g,随着游玩时间增长,占用空间会变大是正常现象。
不知道为什么FileProvider工作不正常,这导致EPlay的应用安装不可用
下载密码jPHxKpCR
更换为再次修复版
流量不够没再发tg了,链接是onedrive
狗妈重工集团
07 Oct, 15:20
我的cloudreve网盘涩涩分享跑路于今天跑路,原因如下
①发一次就有人伸手要一次预览
②嫌弃太慢,反问为什么没有百度,夸克
首先强调一件事,我的网盘是用office 365 E5进行搭建的,国内大多数情况下用户速度较慢,比如预览
但在使用多线程下载软件的情况下,速度是很可观的(但不排除部分地区确实不行)
鉴于此,为了降低我的血压,以及我的流量费用,我不在通过我的网盘发布任何涩涩。
(这只影响我加入的QQ群,但我还是想写在这里,因为总有伸手党不高兴)
①发一次就有人伸手要一次预览
②嫌弃太慢,反问为什么没有百度,夸克
首先强调一件事,我的网盘是用office 365 E5进行搭建的,国内大多数情况下用户速度较慢,比如预览
但在使用多线程下载软件的情况下,速度是很可观的(但不排除部分地区确实不行)
鉴于此,为了降低我的血压,以及我的流量费用,我不在通过我的网盘发布任何涩涩。
(这只影响我加入的QQ群,但我还是想写在这里,因为总有伸手党不高兴)
1,130
subscribers
4
photos
2
videos
