The Crime Lab

해당 문제는 CyberDefenders의 The Crime Labr문제에 대한 풀이입니다.

---

1. Challenge description

We're currently in the midst of a murder investigation, and we've obtained the victim's phone as a key piece of evidence. After conducting interviews with witnesses and those in the victim's inner circle, your objective is to meticulously analyze the information we've gathered and diligently trace the evidence to piece together the sequence of events leading up to the incident.

 

Q1.
Based on the accounts of the witnesses and individuals close to the victim, it has become clear that the victim was interested in trading. This has led him to invest all of his money and acquire debt. Can you identify which trading application the victim primarily used on his phone?

해당 문제는 안드로이드 포렌식 문제로 ALEAPP을 사용해야한다.

ALEAPP을 설치하고 문제에서 주어진 파일을 해당 툴에 넣어 확인해보면 해당 안드로이드 휴대폰의 정보들을 알 수 있다.

첫번째 질문에서 거래 애플리케이션이 묻는것이기에 설치된 앱들을 확인하던 중 아래와 같이 APP ICONS에서 Olymp Trade라는 어플을 확인 할 수 있었다. 

OLYMP TRADE 홈페이지

Q2.
According to the testimony of the victim's best friend, he said, "While we were together, my friend got several calls he avoided. He said he owed the caller a lot of money but couldn't repay now". How much does the victim owe this person?

해당 문제를 풀기 위해선 뭔가 문자 내용 중에 금액에 관련된 정보가 있을 것 같아서 SMS messages에서 확인했다.

Q3.
What is the name of the person to whom the victim owes money?

해당 문제는 채권자의 이름을 알아내는 것인데 Q2를 보면 번호가 있다. 201172137258 해당 번호를 Contacts에서 비교해 찾을 수 있었다.

Q4.
Based on the statement from the victim's family, they said that on September 20, 2023, he departed from his residence without informing anyone of his destination. Where was the victim located at that moment?

해당 문제를 보고 분명히 지도를 봤을 것이라 생각했다.

recent activity_0를 보니 9월 20일에 google maps를 통해 특정 위치를 본 것을 알 수 있었다. 

Q5.
The detective continued his investigation by questioning the hotel lobby. She informed him that the victim had reserved the room for 10 days and had a flight scheduled thereafter. The investigator believes that the victim may have stored his ticket information on his phone. Look for where the victim intended to travel.

이 질문은 디스코드 채팅을 보고 알 수 있었다.

채팅에는 The Mob Museum에서 만나자는 연락을 주고 받았고 Enjoy you flight bro 라는 말을 했기에 비행기를 탔을 가능성을 염두했다..

그래서 The Mob Museum가 어디있는지 찾아보니 Las Vegas에 있는 것을 알 수 있었다.

Q6.
After examining the victim's Discord conversations, we discovered he had arranged to meet a friend at a specific location. Can you determine where this meeting was supposed to occur?

음 이건 Q5 질문을 보면 알 수 있다.