2024 龙信杯 电子数据取证复现

两个字 难 菜

网上找到的比较好的复现

手机取证

1.分析手机检材,请问此手机共通过adb连接过几个设备?

这道题如果直接打开手机目录文件,你会看到最上面有一个adb文件夹,里面有个magisk.db,这个数据库中的policies表里有三条数据,所以可能会回答为3。

就比如我,回答了3。

/data/adb/magisk.db其实是magisk APP的数据库,而policies表是APP用来根据包名,用户id决定策略的。

如果要查看ADB的相关配置,可以在/misc/adb/中找到,在此文件夹中包含了adb_temp_keys.xml,其中存储了ADB 密钥,那么受害人手机上包含了2条密钥,因此连接过2台设备

2.分析手机检材,机主参加考试的时间是什么时候?

便签中可以看到

3.分析手机检材,请问手机的蓝牙Mac地址是多少?

直接解析可以得到

或者在蓝牙Mac地址存在于misc_1/bluedroid/bt_config.conf

4.分析手机检材,请问压缩包加密软件共加密过几份文件?

这道题如果用的火眼,记得分析耗时任务中的 特征分析

5.分析手机检材,请问机主的另外一个155的手机号码是多少?

这题其实是和上一题结合起来的,上一题的文件,是包含在FileCompress目录下的,所以直接在应用列表中找这个apk,放入雷电apk软件分析中,反汇编查看源码,好似在进行密码验证 1!8Da9Re5it2b3a. ,把这个当作解密码试一下,就你能解开压缩包文件。

就能查看到容器密码和另一个手机号

6.分析手机检材,其手机存在一个加密容器,请问其容器密码是多少

接上题

7.分析手机检材,接上问,其容器中存在一份成员名单,嫌疑人曾经误触导致表格中的一个成员姓名被错误修改,请确认这个成员的原始正确姓名?

8.分析手机检材,接上题,请确认该成员的对应的最高代理人是谁(不考虑总部)?

9.分析手机检材,请确认在该组织中,最高层级的层次是多少?

10.分析手机检材,请问第二层级(从总部开始算第一级)人员最多的人是多少人?

11.分析手机检材,机主共开启了几款APP应用分身?

12.分析手机检材,请问机主现在安装了几款即时通讯软件?

13.分析手机检材,请问勒索机主的账号是多少(非微信ID)?

对应聊天记录,追踪到解密后的数据库。

在数据库中查找对应信息的id

14.分析手机检材,接上问,请问机主通过此应用共删除了多少条聊天记录 ?

用火眼似乎不能解出结果,用lx的软件可以直接得到结果为1条

15.分析手机检材,请问会盗取手机信息的APP应用包名是什么?

根据聊天记录吗,去文件系统中搜索找到对应的app,放到雷电apk中直接可以查看

16.接上题,请问该软件作者预留的座机号码是多少?

将app放入雷电模拟器,进行源码分析

分析出一个邮箱:

再往下,在函数onRequestPermissionsResult疑似两个字符串的合并解密

将w0和x0合并得到

感觉为base64,但是解不出来,后面做到计算机,题目问了AES加密的题,于是倒转回来进行BASE64和AES的混合解密,其中密钥key猜测为E10ADC3949BA59ABBE56E057F20F883E。

进行解密得到结果。但是即使复现了也还是有点不明白这里的KEY和IV还有这个编码格式的选择(UTF-8)是怎么得来的。

17.接上题,恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少?

结合上提的方式以及所给的字符串以及后面的反编译代码提示信息

采用类似上一题的解法,得到结果

18.接上题,恶意程序偷取数据的发件邮箱地址是多少?

发邮件肯定用到smtp协议,所以直接搜smtp

转到对应代码,根据代码的意思来(直接代码放入chatgpt得出代码的信息)

将字符串按照同样方式进行解密得到答案

19.接上题,恶意程序偷取数据的发件邮箱密码是多少?

接上题继续解密

20.接上题,恶意程序定义收发件的地址函数是什么?

就是这一段

故函数就为a

计算机取证

我在做计算机仿真的时候遇到最多的问题就是权限不够,有点懵逼??

1.分析计算机检材,嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密,用于加密的key是多少?

用火眼看不了,所以仿真起来,记得把火眼默认绕过密码取消

这里注意一个细节,我开始用虚拟机中的pycharm打开代码的时候为空,我就以为没有,但其实就在里面,只是访问权限不够,所以打开为空。

可以去对应火眼证据分析里面去,应该可以查看对应的文件(这里需要提前进行耗时任务分析)

2.分析计算机检材,身份证为”371963195112051505″这个人的手机号码是多少?

写一个对应解密脚本

from Crypto.Cipher import AES
from tqdm import tqdm
import re

def aes_decrypt(data, key, iv):
    cipher = AES.new(key, AES.MODE_CBC, iv)
    decrypted_data = cipher.decrypt(data)
    # 只去除 \x05, \x07, \x0E
    cleaned_data = re.sub(r'[\x05\x07\x0e]', '', decrypted_data.decode('utf-8').strip())
    return cleaned_data

key = b'65B2564BG89F16G9'
iv = b'83E6CBEF547944CF'

input_file = "encrypted_data.txt"
output_file = "decrypt.txt"

def process_data(input_file, output_file, key, iv):
    with open(input_file, "r") as f_in, open(output_file, "w") as f_out:
        lines = f_in.readlines()
        for line in tqdm(lines, total=len(lines), desc="解密进度"):
            parts = line.strip().split(',')
            index = parts[0]
            f_out.write(index + ",")

            decrypted_parts = []
            for part in parts[1:]:
                encrypted_data = bytes.fromhex(part)
                decrypted_part = aes_decrypt(encrypted_data, key, iv)
                decrypted_parts.append(decrypted_part)

            f_out.write(",".join(decrypted_parts) + "\n")

process_data(input_file, output_file, key, iv)

print("解密完成。")

3.分析计算机检材,对解密后的身份证数据列进行单列去重操作,重复的身份证号码数量是多少?(身份证不甄别真假)

4.分析计算机检材,接上题,根据身份证号码(第17位)分析性别,男性的数据是多少条?

5.分析计算机检材,接上题,对解密后的数据文件进行分析,甄别身份证号码性别值与标识性别不一致的数量是多少?

6.分析计算机检材,计算机中存在的“VPN”工具版本是多少?

仿真后查看,找到winxray(一个VPN代理工具),查看属性

7.分析计算机检材,计算机中存在的“VPN”节点订阅地址是什么?

8.分析计算机检材,eduwcry压缩包文件的解压密码是什么?

找了好久,都没有想到是搜狗词库里面的 yasuomima

bandizip密码管理器里也有

9.分析计算机检材,接上题,请问恶意程序释放压缩包的md5值是多少。

10.分析计算机检材,接上题,请问恶意程序记录的洋葱浏览器下载地址是多少?

11.分析计算机检材,接上题,请问恶意程序解密了t.wnry后该dll的md5值是多少。

12.分析计算机检材,接上题,恶意程序运行起来后第一个循环调用了几次taskkill.exe。

13.分析计算机检材,接上题,请问@WanaDecryptor@.exe.lnk文件是通过什么函数创建的。

病毒分析之WannaCry勒索病毒 – 吾爱破解 – 52pojie.cn

14.分析计算机检材,接上题,恶意程序修改系统桌面壁纸是在哪个函数实现的

15.分析计算机检材,VeraCrypt加密容器的密码是什么?

16.分析计算机检材,其中存在一个苹果手机备份包,手机备份包的密码是什么?

将容器加载到vc上,输入上题的密码就可以在挂载的磁盘上看到一个手机备份包

在浏览器记录中找到关键词,知道了密码为5位数字,可以用工具爆破。

17.分析计算机检材,接上题,机主实际篡改多少条微信数据?

即将上题的苹果手机备份数据镜像进行分析得到

18.分析计算机检材,接上题,机主共存款了多少金额?

19.分析计算机检材,在手机模拟器中勒索apk软件的sha256值是什么?

20.分析计算机检材,接上题,请问勒索apk软件的解锁密码是什么?

流量取证

1.分析流量包检材,给出管理员对web环境进行管理的工具名。

2.分析流量包检材,给出攻击者的ip地址是多少。

过滤http 看谁给谁发送的包,192.168.209.135发出的请求方法,192.168.209.147给出的响应包。于是为攻击ip

3.分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。

4.分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。

5.分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。

6.分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。

7.分析流量包检材,服务器php配置文件的存放位置

8.分析流量包检材,被攻击的web环境其数据库密码是。

9.分析流量包检材,服务器管理存放临时登录密码的位置。

10.分析流量包检材,黑客获取的高权限主机的登录密码。

服务器取证

1.分析服务器检材,服务器会做登录密码验证,该登录验证文件位置在?

第一次仿真登录进去发现会删东西,然后在火眼中搜 .sh脚本,根据时间找最近的几个,看哪个里面和删除文件相关

2.分析服务器检材,服务器ssh端口是多少?

3.分析服务器检材,服务器docker内有多少个镜像。

4.分析服务器检材,服务器内sqlserver默认账号的密码是?

5.分析服务器检材,服务器内sqlserver存放了阿里云存储下载地址,该下载地址是?

6.分析服务器检材,服务器内sqlserver内“cmf_user_action_log”表,表内存在的用户操作日志,一共操作次数是多少?

7.分析服务器检材,该服务器正在使用的数据库的持久化目录是什么?

8.分析服务器检材,该网站后台正在使用的数据库有多少个集合?

9.分析服务器检材,该网站的后台登录地址是?

10.分析服务器检材,该网站后台使用的管理员加密算法是?

11.分析服务器检材,该网站最早使用超级管理员进行删除管理员操作的IP地址是?

12.分析服务器检材,该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件,该文件内的账单交易订单号是多少?

13.分析服务器检材,该网站存在网站数据库备份功能,该功能的接口地址是?

14.分析服务器检材,该网站存放银行卡信息数据表中,其中信息数量前十的公司对应旗下visa银行卡一共有多少金额?

15.分析服务器检材,该网站在2023年二月一共获取了多少条通信记录?

16.分析服务器检材,该网站的一条管理员信息存在数据篡改,请分析是哪个管理员信息遭到篡改,该管理员用户名是?

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇