赌博机TrueCpyt全盘解密！ Cflab实验室研究简报

发布时间:2018年4月10 17:32

　　独家首创!赌博机取证，我们可以～

　　赌博活动近来有猖狂之势，但目前，对大多数鉴定机构来说，赌博机取证几乎是不可做的案子。

　　前些日子，Cflab实验室接到一起赌博机的案件，必哥接手后潜心研究几日，获得了突破性进展，解决了取证难点。

　　取证需求

　　要给赌博量刑，就需要找到其「上分记录」作为证据，因此必须拿到后台数据进行分析。

　　赌博形式利用的是一款捕鱼机，正如我们常在游戏厅见到的这样：

　　图：三头鲨游戏机

　　我们拆下了游戏主机，镜像一份之后开始实施分析。

　　图：主机照片

　　取证难点

　　该款捕鱼机设置了TrueCrpt全盘加密!!!

　　背景知识：简单来说，TrueCrpt全盘加密几乎可以说是破不了的，唯一的办法就是跑密码……

　　大部分赌博机都有TrueCrpt加密，这也是赌博机取证不可做的原因所在。

　　当然我们不会真的去跑密码，必哥想办法分析出了程序的加密过程和引导过程，成功解密并提取出了数据。

　　成果展示

　　在分析出赌博机运行环境所需的所有条件后，必哥将其用仿真系统运行起来。界面如下图所示：

　　图：报账界面(具体数目还是打个马赛克吧)

　　再来对比一下解密前和解密后用X-Ways打开的样子：

图1

图2

　　图1：左图为解密前，图2为解密后

　　最后再来一张关键性的图：

　　图：赌博记录

　　研究总结

　　突破一：针对赌博机TrueCrpt全盘加密，找到了解密的方法;

　　突破二：赌博机程序内存储数据文件也有加密，同样成功破解。

　　完

　　哈喽，小编在此正式告知各位，「Cflab实验室研究简报」将作为一个新开辟的专栏持续更新。

　　有这个想法，是因为必哥在电子取证工作中经常碰到很多别人做不了的案子，但他总能用独特的思路想到办法解决各种难题!每次看到实验室的小伙伴们为之兴奋不已，我真的很想分享他们的喜悦。

　　以后，每当有研究新发现，我都会以简报的形式给大家汇报，记录我们一点一滴的进步，见证我们技术的不断强大。

　　别人做不到的，我们都能做!你有难题没关系，我们有研究热情!

　　只为告诉你，我们为取证做的努力!