这次主要负责计算机部分 先复现一下计算机
1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)
Windows 10 Pro 14393
2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)
A:Edge B:Internet Explorer C:Google Chrome D:360浏览器
C
3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)
A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx D:脚本.docx
A
4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)
1个
5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)
TrueCrypt
6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?(答案格式:C:\xxx\xxx)(★★☆☆☆)
D:\Users\WH\Documents
7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)
000649-583407-395868-441210-589776-038698-479083-651618
对d盘进行卷影分析 然后进行原始数据搜索,就可以看到密钥
8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)
38
9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)
100万
这里要查看微信的记录
但是被加密了
这里第一次碰见 用内存镜像解密微信账号
可以看到聊天记录说100万
10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?(答案格式:123)(★★☆☆☆)
728
volatility.exe -f K:\魏文茵\电脑\memdump.mem --profile=Win10x64 pslist
或者直接看
11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)
239F39E353358584691790DDA5FF49BAA07CFDBB
12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格式:100,000,000)(★★☆☆☆)
536,870,912
13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)(★☆☆☆☆)
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe
D
14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)(★★★★★)
kangshifu0008
先找到邮件
vpn
要把两个文件都下了
后面好像是要结合手机取证的内容 这里就先放一边了
手机tg里跟一个人购买源码,密码是他的邮箱kangshifu0008
15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?(答案格式:22)(★★☆☆☆)
2282
仿真进去桌面有这个软件
选择
做后面题目的时候发现文档里面也有
16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password(★★★★☆)
P@ssw0rd
17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)
c1934045c3348ea1ba618279aac38c67
找文档的时候发现
计算一下md5
18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)(★☆☆☆☆)
F
查看一下最近的访问记录
可以发现有f盘 但是这个不是系统盘符 所以就是被挂载的
19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)(★★★★☆)
xiaozang123!@#
TC容器为资料.docx
下载了passware kit 这台电脑没有
导出文件
直接放火眼就可以识别
分析后有一个文本文档
20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)
后羿采集器
这个很明显
21.根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?(答案格式:10,000)(★★★★★)
19225
22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)(★☆☆☆☆)
A.中国证券投资基金业协人员信息
B.仓山区市场监督管理局行政执法人员信息
C.清平镇卫生院基本公共卫生服务
D.仓山区市场监督管理局行政执法人员信息
C
这里要用手机 就先放着了
23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?(答案格式:2211)(★★☆☆☆)
8080
直接搜索webdav
发现网址,直接全局搜索,发现端口
24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)(★★☆☆☆)
7890
一开始就觉得是clash
但是在桌面上木有看见
软件是clash无疑
查找文件所在位置
还是默认端口7890
25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格式:abc1234df334…)(★★☆☆☆)
d4029286acc8bfd97818d5f8724f0f0a
刷新一下就有token
26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:www.baidu.com:1122)(★★★☆☆)
im.pgscup.com:6661
potato
27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★☆☆☆☆)
2023-04-27 17:57:53
VOL
28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll
B
29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?(答案格式:0xxxxx123…)(★★☆☆☆)
0xffffab861963e000
volatility.exe -f K:\臧觅风\电脑\memdump.mem --profile=Win10x64_10586 hivelist
30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★★☆)
2023-04-27 17:55:32
31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)(★★★☆☆)
D:\backup\mydata\账号信息.docx
32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)(★☆☆☆☆)
macOS 12.6/macOS Monterey
33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)(★★☆☆☆)
2022-10-09
34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)(★☆☆☆☆)
这里要仿真
这里太诡异了 用盘古石的还不能仿真 用弘连的才行 盘古石的会一直卡在启动项
35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)(★★☆☆☆)
10
36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)(★★☆☆☆)
2023-04-14 7:55:50
37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)(★★★☆☆)
35
hostname
可以查询主机名称
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)(★★★★☆)
9.84
仿真后在桌面上看到这个文件 八成就要用这个
搜索源文件
查看十六进制,发现这是个rar文件
但是这个文件被加密了
用archpr不能破解 又想到用passware了
这里如果直接爆破的会很很慢很慢!!!根本爆不出来
后来看别人是说手机取证得到potato里面有密码规则 按照那个应该会很快爆破出来
这里就直接用别人爆破得到的密码了
在表格中筛选出陆文杰
有点阅读理解 我也不知道9.84怎么来的
39、从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?[答案格式:8小时][★★★★☆]
2.5小时
脚本里面有 但是午班不算在里面 又是阅读理解
40、从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?[答案格式:xxx@xxx.xx][★★★★☆]
IxCnq3@yDp.net
脚本里面
42、通过分析得出嫌疑人容恨寒小孩的年龄是?[答案格式:10岁][★★★☆☆]
6岁
这题确实不知道
直接原始数据搜索 不知道是不是