2024FIC第四届全国网络空间取证竞赛线上初赛Windows参考WP

最新推荐文章于 2024-06-17 09:21:23 发布
最新推荐文章于 2024-06-17 09:21:23 发布
阅读量1.1k 收藏 21
点赞数 15
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79200709/article/details/138292476
版权

案情介绍

目录

案情介绍

Windows部分

小总结

2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。 接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。

Windows部分

1.分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?忽略大小写

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

火眼直接分析,要等一会儿。

 

2.分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?忽略大小写

B25E2804B586394778C800D410ED7BCDC05A19C8

 首先是疑似vc加密容器,可以在火眼里先看一些疑似文件,或者直接仿真在里面看一看,找到一个2024fic,这样的文件应该会敏感一点。 

哈希值计算一下就可以了

 3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?忽略大小写

E6EB3D28C53E903A71880961ABB553EF09089007

同样在文档中,还有一个commonpwd.txt,打开一看就是一个密码本,符合题目

4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?

qwerasdfzxcv

 这题其实比赛的时候太武断了,没考虑到只能提交一次答案,所以直接提交了图片上的答案,很亏,应该仔细看看的。还是同样的目录下,pswd.jpg打开时一个密码,但是题目说隐写,所以肯定没那么简单,拿到主机010打开,看到最后有real password

5. 分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么【答题格式:111111-222222-333333-444444-555555-666666-777777-888888】

404052-011088-453090-291500-377751-349536-330429-257235

这题就回到了2024fic的文件,由于题目提示,所以vc挂载一下,看看内容 ,挂载密码就是上一题得出的密码。

6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是【答题格式:1024】

146794496

这里就是,火眼直接看

7. 分析技术员赵某的windows镜像,默认的浏览器是

Chrome

这里也是火眼分析出来

8. 分析技术员赵某的windows镜像,私有聊天服务器的密码为【答题格式:abc123】

Zhao

 解密扇区仿真起来之后,就可以看见有一个私有聊天密码,上面是账号下面是密码

9. 分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?【答题格式:www.baidu.com】

www.585975.com

 打开的图片前面有一张有网站,就是赌博网站

 

10. 分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?

Roop

 这里打开D盘的文件,可以找到有关换脸的软件

 

11. 分析技术员赵某的windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为【答题格式:1.txt】

db.jpg

 查看readme.md

--source为指定源文件,就是需要的脸的图片;--target为指定目标文件,就是需要换脸的文件;--output为指定结果,就是换脸后的图片

查看一下powershell的记录

12. 分析技术员赵某的windows镜像,ai换脸生成图片的参数中--similar-face-distance值为【答题格式:20.12】

0.85

 见上题

13. 分析技术员赵某的windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式:abc.txt】

dst01.jpeg

见11题

14. 分析技术员赵某的windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?【答题格式:http://www.baidu.com/1.html】

新约佛论禅/佛曰加密 - 萌研社 - PcMoe!

根据解密网站的提示,和在线网站,查看浏览器记录

15. 分析技术员赵某的windows镜像,赵某架设聊天服务器的原始IP地址为?【答题格式:192.168.1.1】

192.168.8.17

见上题,可以看见这个网站有admin和users操作,所以判断为聊天服务器 (同时提示了MoneyMoney)

16. 分析技术员赵某的windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?

2024-03-14 20:32:08

 见上题的截图,可以看见访问时间

17. 分析技术员赵某的windows镜像,openwrt的后台管理密码是

hl@7001

 检索过程中找到带有openwrt的图片,附带网址,在谷歌浏览器中保存的密码中就有对应网站,即密码

 

18. 分析技术员赵某的windows镜像,嫌疑人可能使用什么云来进行文件存储?【答题格式:阿里云】

易有云

 浏览器记录中翻到关于文件储存

19.分析技术员赵某的windows镜像,工资表密码是多少【答题格式:abc123】

aa123456

 用密码本commonpwd爆破表格

20.分析技术员赵某的windows镜像,张伟的工资是多少【答题格式:20】

28300

 打开工资表,第一个就是张伟

小总结

Windows部分基本不难,但是得到的很多信息其实不确定是不是这个点,而且一次提交机会,容错率很低,提交太急也会容易失分 ,正式打的第二次比赛,还不太熟练检索信息的使用工具,欢迎批评。

buuuu-
关注
  • 15
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
21FIC神秘比赛取证,综合性高,misc和取证结合,网站全新的docker架构,题目蛮有意思。
ntrybw的博客
03-29 2149
由于题目特殊,内部试题,检材必须私信我才能给,见谅见谅,真的是没办法,抱歉抱歉。案情一:警方收到受害者 A 报案称,其电脑感染勒索病毒,重要文件被病毒加密;经询问,A 称他在上网时,发现了一个帖子,其中有教程和“梯子”工具可以让他很方便的浏览境外网站,当他安装完成后,通过浏览器打开 google 网站后跳转到了一个色情网站,没有禁受住诱惑,A 点击了网站上的视频,播放视频需要下载播放器,当他下载完成并运行后,发现电脑重要文件被加密;
FIC6 24LC512.bin
07-16
AEM FIC-6 FIC6上面24LC512的编程器固件备份 有需要的可以试试 编程器直接备份还原 汽车外挂电脑用
2024FIC竞赛wp
m0_69407979的博客
04-30 927
2024FIC竞赛wp
2024第四届FIC初赛Writeup
啥都弄
04-29 1561
这套题做Windows和做服务器的队友一定要配合好,很多密码在Windows里都能找到。
2024FIC第四届全国网络空间取证竞赛
xydsg的博客
04-29 536
https://xyaxxya.github.io/2024/04/27/2024FIC%E7%AC%AC%E5%9B%9B%E5%B1%8A%E5%85%A8%E5%9B%BD%E7%BD%91%E7%BB%9C%E7%A9%BA%E9%97%B4%E5%8F%96%E8%AF%81%E7%AB%9E%E8%B5%9B/
ESXI集群--2024FIC服务器
m0_75046593的博客
05-05 493
最近三次比赛遇到了两次esxi集群,需要好好复盘 ESXi专为运行虚拟机、最大限度降低配置要求和简化部署而设计。只需几分钟时间,客户便可完成从安装到运行虚拟化的全过程,特别是在下载并安装预配置虚拟设备的时候。 在VMwareVirtual Appliance Marketplace 上有800多款为VMware hypervisor 创建的虚拟设备,如今,ESXi已经实现了与Virtual A...
2024FIC 第四届全国网络空间取证竞赛线上赛(服务器部分)
weixin_72667582的博客
05-05 1540
这次打了第四,还差一捏捏有点可惜了,思路没啥大问题,手贱交错几条flag。
2024FIC初赛
wuwuliuliu0524的博客
06-06 1055
2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。
2024第四届FIC竞赛服务器部分题解个人向小白
jungle___的博客
04-29 968
设置完成后重启系统,即可破解root密码。40.请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?34.rocketchat服务器中,聊天服务使用的数据库的版本号是?38.综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少。28.分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是。29.分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是。45.分析openwrt镜像,该系统中装的docker的版本号为。33.rocketchat服务器中,聊天服务的管理员的邮箱是?
CEVA4000手册FIC总线
04-11
fic总线协议 The information contained in this document is subject to change without notice and does not represent a commitment on any part of CEVA ® , Inc. CEVA ® , Inc. and its subsidiaries make no...
FIC推出Linux PMP产品.pdf
09-07
FIC推出Linux PMP产品.pdf
FIC6 24LC128.bin
07-16
AEM FIC-6 FIC6上面24LC128的编程器固件备份 有需要的可以试试 编程器直接备份还原 汽车外挂电脑用
基于FIC8120和PoE的IP-Camera设计
10-18
为满足分布式单摄像机远距传输的需求,加快当今数字化网络化的现代化步伐,提出了创新的基于FIC8120(ARM-SoC)和PoE的全数字实时IP-Camera的实现方案,并详细阐述了系统组成结构及软硬件设计。该系统具有实时录像、...
2023FIC竞赛题目
m0_69407979的博客
04-20 1332
2023FIC竞赛题目
2024年弘连网络FIC大会竞赛题-0518线下决赛题
xydsg的博客
05-21 815
经过一段时间的侦查,2023年3月25日,警方最终锁定了"lalala李"网络水军团伙的技术人员卢某,一举拿下了卢某的住所;2024年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;进入pve,将其他虚拟机关机,只开启nginx,将nginx的网卡桥接至我们的100段的网卡(ens36是100段的网卡)官方题解说可以在里面直接做,我只有nginx是由权限的,其他两个拿不到权限,只能导出做。
FIC取证复现
wwwwyyyrre的博客
05-04 1101
线Bcrypt密码生成工具-Bejson.com。
JAVA 替代SWITCH 枚举值 CASE 的 策略模式
最新发布
chengmin123456789的博客
06-17 255
在java 中实际开发功能时候,我想绝大多数人应该是倾向于使用case when 的,而设计模式大部分用于架构层,至于该怎么用,我觉得还是黑猫白猫都行。
#include <stdio.h> #include <stdlib.h> #include <iostream> #include <sstream> #include <fstream> #include <string.h> #include <time.h> #include <ctime> #include <vector> #include <string.h> int main() { ifstream FIC; FILE *fp; f.open("dsjc125.1.txt"; //File_Name表示文件名字 如File_Name = “dsjc125.1.txt" if ( FIC.fail() ) { cout << "### Erreur open, File_Name " << File_Name << endl; exit(0); } char StrReading[100]; FIC >> StrReading; if ( FIC.eof() ) { cout << "### Error open, File_Name " << File_Name << endl; exit(0); } int x1, x2; while ( ! FIC.eof() ) { char bidon[50]; if ( strcmp(StrReading, "p" )==0 ) { //FIC >> StrReading; FIC >> N_node >> N_edge; cout << "Number of vertexes = " << N_node << endl; cout << "Number of edges = " << N_edge << endl; for ( int x=0; x< N_node; x++ ) for ( int y=0; y< N_node; y++ ) Edge[x][y] = 0; } if ( strcmp(StrReading, "e")==0 ) { FIC >> x1 >> x2; x1--; x2--; if ( x1<0 || x2<0 || x1>= N_node || x2 >= N_node ) { cout << "### Error of node : x1=" << x1 << ", x2=" << x2 << endl; exit(0); } Edge[x1][x2]=Edge[x2][x1]=1; max_edg++; } FIC >> StrReading; } FIC.close(); return 0; }
07-09
这段代码是一个简单的C++程序,用于从文件中读取图的顶点和边信息,并存储在一个二维数组中。以下是对代码的解析: 1. `#include` 部分包含了一些必要的头文件。 2. `main()` 函数是程序的入口点。 3. `ifstream` 和 `FILE` 是用于文件操作的类和结构体。 4. `f.open("dsjc125.1.txt";` 打开名为 "dsjc125.1.txt" 的文件,如果打开失败则会输出错误信息并退出程序。 5. `char StrReading[100];` 用于存储从文件中读取的字符串。 6. `FIC >> StrReading;` 将文件中的下一个字符串读取到 `StrReading` 中。 7. `if ( FIC.eof() )` 检查是否已到达文件末尾。 8. `FIC >> N_node >> N_edge;` 从文件中读取图的顶点数和边数。 9. `for ( int x=0; x< N_node; x++ )` 和 `for ( int y=0; y< N_node; y++ )` 循环用于初始化二维数组 `Edge`。 10. `if ( strcmp(StrReading, "e")==0 )` 检查读取到的字符串是否为 "e",表示接下来是一条边的信息。 11. `FIC >> x1 >> x2;` 从文件中读取边的起点和终点。 12. `x1--; x2--;` 将顶点编号减1,因为数组索引从0开始。 13. `Edge[x1][x2]=Edge[x2][x1]=1;` 将边的信息存储到二维数组中。 14. `FIC >> StrReading;` 继续读取下一个字符串。 15. `FIC.close();` 关闭文件。 这段代码主要是读取一个图的顶点和边信息,并将其存储在一个二维数组中。但是代码缺少了一些变量的声明和定义,无法完整运行。如果需要更详细的解答,请提供完整的代码和文件内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值