2023盘古石计算机复现

这次主要负责计算机部分 先复现一下计算机

1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)(★☆☆☆☆)

Windows 10 Pro 14393

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)(★☆☆☆☆)

A：Edge B:Internet Explorer C:Google Chrome D:360浏览器

C

3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)(★☆☆☆☆)

A：掠夺攻略.docx B：工资表.xlsx C:刷单秘籍.docx D:脚本.docx

A

 

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)(★★☆☆☆)

1个

5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))(★☆☆☆☆)

TrueCrypt

 

 

6.接上题，嫌疑人魏文茵计算机中加密容器加密后的容器文件路径？(答案格式:C:\xxx\xxx)(★★☆☆☆)

D:\Users\WH\Documents

 

7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-000000-000000-000000-000000-000000))(★★★☆☆)

000649-583407-395868-441210-589776-038698-479083-651618

 对d盘进行卷影分析 然后进行原始数据搜索，就可以看到密钥

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)(★☆☆☆☆)

38

 

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)

100万

这里要查看微信的记录

但是被加密了

这里第一次碰见 用内存镜像解密微信账号

可以看到聊天记录说100万

 

10.通过对嫌疑人魏文茵计算机内存分析，print.exe的PID是？(答案格式:123)(★★☆☆☆)

728

volatility.exe -f K:\魏文茵\电脑\memdump.mem --profile=Win10x64 pslist

或者直接看

 

11.根据臧觅风的计算机分析，请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★☆☆☆☆)

239F39E353358584691790DDA5FF49BAA07CFDBB

12.根据臧觅风的计算机分析，请给出该技术人员计算机“zang.E01”的总扇区数？(答案格式:100,000,000)(★★☆☆☆)

536,870,912

13.根据臧觅风的计算机分析，以下那个文件不是技术人员通过浏览器下载的？(答案格式:A)(★☆☆☆☆)

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

D

14.根据臧觅风的计算机分析，请给出该技术人员邮件附件“好东西.zip”解压密码？(答案格式:abc123)(★★★★★)

kangshifu0008

先找到邮件

 vpn

要把两个文件都下了

 

后面好像是要结合手机取证的内容 这里就先放一边了

手机tg里跟一个人购买源码，密码是他的邮箱kangshifu0008

15.根据臧觅风的计算机分析，该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号？(答案格式:22)(★★☆☆☆)

2282

仿真进去桌面有这个软件

选择

做后面题目的时候发现文档里面也有

16.根据臧觅风的计算机分析，接上题，请给出服务器的密码？(答案格式:password(★★★★☆)

P@ssw0rd

 

17.根据臧觅风的计算机分析，据该技术人员交代，其电脑内有个保存各种密码的txt文件，请找出该文件，计算其MD5值？(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)(★★★★★)

c1934045c3348ea1ba618279aac38c67

找文档的时候发现

 计算一下md5

 

18.根据臧觅风的计算机分析，该技术人员曾使用过加密容器反取证技术，请给出该容器挂载的盘符？(答案格式:A)(★☆☆☆☆)

F

查看一下最近的访问记录

可以发现有f盘 但是这个不是系统盘符 所以就是被挂载的

 

19.根据臧觅风的计算机分析，请给出该技术人员电脑内keePass的Master Password？(答案格式:password12#)(★★★★☆)

xiaozang123!@#

TC容器为资料.docx

下载了passware kit 这台电脑没有

导出文件

 

直接放火眼就可以识别

分析后有一个文本文档

20.根据臧觅风的计算机分析，请给出该技术人员所使用的爬虫工具名称？(答案格式:xxx)(★★☆☆☆)

后羿采集器

这个很明显

21.根据臧觅风的计算机分析，接上题，该技术人员通过该采集器一共采集了多少条人员信息数据？(答案格式:10,000)(★★★★★)

19225

22.根据臧觅风的计算机分析，以下那个不是该技术人员通过爬虫工具采集的数据？(答案格式:A)(★☆☆☆☆)

A.中国证券投资基金业协人员信息

B.仓山区市场监督管理局行政执法人员信息

C.清平镇卫生院基本公共卫生服务

D.仓山区市场监督管理局行政执法人员信息

C

这里要用手机 就先放着了

23.根据臧觅风的计算机分析，该嫌疑人曾浏览过“阿里云WebDAV”，请给出该“阿里云WebDAV”端口号？(答案格式:2211)(★★☆☆☆)

8080

直接搜索webdav

发现网址，直接全局搜索，发现端口

 

24.根据臧觅风的计算机分析，请给出该技术人员电脑内代理软件所使用的端口号？(答案格式:2211)(★★☆☆☆)

7890

一开始就觉得是clash

但是在桌面上木有看见

软件是clash无疑

 查找文件所在位置

还是默认端口7890

 

25.根据臧觅风的计算机分析，接上题，请给出该代理软件内订阅链接的token？(答案格式:abc1234df334…)(★★☆☆☆)

d4029286acc8bfd97818d5f8724f0f0a

刷新一下就有token

26.根据臧觅风的计算机分析，请给出该技术人员电脑内用于内部通联工具的地址和端口？(答案格式:www.baidu.com:1122)(★★★☆☆)

im.pgscup.com:6661

potato

 

27.根据臧觅风的计算机分析，请给出该电脑内存镜像创建的时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★☆☆☆☆)

2023-04-27 17:57:53

VOL

28.根据臧觅风的计算机分析，以下那个不是“chrone.exe”的动态链接库？(答案格式:A)(★★★★☆)

A.ntdll.dll

B.iertutil.dll

C.wow64cpu.dll

D.wow64win.dll

B

29.根据臧觅风的计算机分析，请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少？(答案格式:0xxxxx123…)(★★☆☆☆)

0xffffab861963e000

volatility.exe -f K:\臧觅风\电脑\memdump.mem --profile=Win10x64_10586 hivelist

30.根据臧觅风的计算机分析，据嫌疑人交代，其电脑上曾存打开过一个名为“账号信息.docx”的文档，请给出该文档的最后访问时间（北京时间）？(答案格式:2023-05-06 14:00:00)(★★★★☆)

2023-04-27 17:55:32

31.根据臧觅风的计算机分析，接上题，请给出该文档的存储路径？(答案格式:C:\xxx\xxx)(★★★☆☆)

D:\backup\mydata\账号信息.docx

32.嫌疑人容恨寒苹果电脑的系统版本名称是？(答案格式:注意大小写)(★☆☆☆☆)

macOS 12.6/macOS Monterey

 

33.嫌疑人容恨寒苹果电脑操作系统安装日期是？(答案格式:2000-01-01)(★★☆☆☆)

2022-10-09

 

34.嫌疑人容恨寒苹果电脑的内核版本是？(答案格式:xxxxx 11.0.4，注意大小写)(★☆☆☆☆) 

这里要仿真

这里太诡异了 用盘古石的还不能仿真 用弘连的才行 盘古石的会一直卡在启动项

 

35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序？(答案格式:20)(★★☆☆☆)

10

36.嫌疑人容恨寒苹果电脑最后一次关机时间（GMT）？(答案格式:2000-01-01 01:00:09)(★★☆☆☆)

2023-04-14 7:55:50

37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令？(答案格式:20)(★★★☆☆)

35

hostname可以查询主机名称

 

38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是？(答案格式:20)(★★★★☆)

9.84

仿真后在桌面上看到这个文件 八成就要用这个

 

搜索源文件

查看十六进制，发现这是个rar文件

但是这个文件被加密了

用archpr不能破解 又想到用passware了

这里如果直接爆破的会很很慢很慢！！！根本爆不出来

后来看别人是说手机取证得到potato里面有密码规则 按照那个应该会很快爆破出来

这里就直接用别人爆破得到的密码了

在表格中筛选出陆文杰

有点阅读理解 我也不知道9.84怎么来的

39、从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是？[答案格式:8小时][★★★★☆]

2.5小时

脚本里面有 但是午班不算在里面 又是阅读理解

40、从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是？[答案格式:xxx@xxx.xx][★★★★☆]

IxCnq3@yDp.net

脚本里面

42、通过分析得出嫌疑人容恨寒小孩的年龄是？[答案格式:10岁][★★★☆☆]

6岁

这题确实不知道

直接原始数据搜索 不知道是不是