[Endpoint Forensics] The Crime Lab

Scenario

We're currently in the midst of a murder investigation, and we've obtained the victim's phone as a key piece of evidence. After conducting interviews with witnesses and those in the victim's inner circle, your objective is to meticulously analyze the information we've gathered and diligently trace the evidence to piece together the sequence of events leading up to the incident.

 

Q1. Based on the accounts of the witnesses and individuals close to the victim, it has become clear that the victim was interested in trading. This has led him to invest all of his money and acquire debt. Can you identify the SHA256 of the trading application the victim primarily used on his phone?

사용자 직접 설치한 앱은 안드로이드에서 data 하위 app 폴더에 저장됩니다.

olymptrade 앱의 SHA 256 값을 제출하였습니다. 검색해보니 olymptrade 앱은 투자 트레이딩 앱이었습니다. 문제에서 피해자는 모든 돈을 투자하고 부채를 지게 되었다는 점을 언급했기 때문에 해당 애플리케이션에서 거래하였음을 추측할 수 있습니다.

 

답 : 4f168a772350f283a1c49e78c1548d7c2c6c05106d8b9feb825fdc3466e9df3c

 

 

Q2. According to the testimony of the victim's best friend, he said, "While we were together, my friend got several calls he avoided. He said he owed the caller a lot of money but couldn't repay now". How much does the victim owe this person?

ALEAPP으로 안드로이드 로그 프로세싱을 돌리고, 해당 도구를 바탕으로 분석을 진행하였습니다.

 

data\user_de\0\com.android.providers.telephony\databases\mmssms.db 아티팩트에서 부채 관련 SMS 메시지 내용을 확인할 수 있었습니다.

 

답 : 250000

 

Q3. What is the name of the person to whom the victim owes money?

문자 내역에서 송신자의 Address를 확인할 수 있습니다.

 

data\data\com.android.providers.contacts\databases\contacts2.db 경로에 저장된 전화번호부 목록을 확인할 수 있습니다. 해당 경로는 Android 시스템에서 연락처 정보를 저장하는 SQLite 데이터 베이스 파일 위치입니다.

 

답 : Shady Wahab

 

Q4. Based on the statement from the victim's family, they said that on September 20, 2023, he departed from his residence without informing anyone of his destination. Where was the victim located at that moment?

data\system_ce\0\recent_tasks 경로에서 최근 실행된 앱 관련 정보를 확인할 수 있습니다.

스냅샷 이미지와 함께 Google Maps 관련 정보를 확인할 수 있습니다. 스냅샷에 찍힌 장소를 확인하면 The Nile Ritz-Carlton 이라는 장소가 찍혀있습니다. 또한 해당 로그의 시간이 2023년 9월 20일인 것으로 보아 피해자가 사라지기 이전 머물렀던 장소가 The Nile Ritz-Carlton임을 추측할 수 있습니다.

 

답 : The Nile Ritz-Carlton

 

Q5. The detective continued his investigation by questioning the hotel lobby. She informed him that the victim had reserved the room for 10 days and had a flight scheduled thereafter. The investigator believes that the victim may have stored his ticket information on his phone. Look for where the victim intended to travel.

data\data\com.discord\files\kv-storage\@account.665825323065016370\a 경로에 남아있는 디스코드 채팅 기록을 살펴보면 The Mob Museum에서 rob1ns0n 닉네임의 사용자가 피해자를 기다리겠다는 내용을 확인할 수 있습니다.

 

The Mob Museum을 라스 베가스에 위치해있음을 확인할 수 있습니다.

 

또한 data\media\0\Download 경로에 사용자가 다운받은 파일이 저장되는데 해당 경로에서 항공편을 확인할 수 있습니다.

 

답 : Las Vegas

 

Q6. After examining the victim's Discord conversations, we discovered he had arranged to meet a friend at a specific location. Can you determine where this meeting was supposed to occur?

5번 참고.

 

답 : The Mob Museum