2024FIC第四届全国网络空间取证竞赛线上初赛Windows参考WP

案情介绍

目录

案情介绍

Windows部分

小总结


2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。 接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。

Windows部分

1.分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?忽略大小写

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

火眼直接分析,要等一会儿。

 

2.分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?忽略大小写

B25E2804B586394778C800D410ED7BCDC05A19C8

 首先是疑似vc加密容器,可以在火眼里先看一些疑似文件,或者直接仿真在里面看一看,找到一个2024fic,这样的文件应该会敏感一点。 

哈希值计算一下就可以了

 3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?忽略大小写

E6EB3D28C53E903A71880961ABB553EF09089007

同样在文档中,还有一个commonpwd.txt,打开一看就是一个密码本,符合题目

4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?

qwerasdfzxcv

 这题其实比赛的时候太武断了,没考虑到只能提交一次答案,所以直接提交了图片上的答案,很亏,应该仔细看看的。还是同样的目录下,pswd.jpg打开时一个密码,但是题目说隐写,所以肯定没那么简单,拿到主机010打开,看到最后有real password

5. 分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么【答题格式:111111-222222-333333-444444-555555-666666-777777-888888】

404052-011088-453090-291500-377751-349536-330429-257235

这题就回到了2024fic的文件,由于题目提示,所以vc挂载一下,看看内容 ,挂载密码就是上一题得出的密码。

6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是【答题格式:1024】

146794496

这里就是,火眼直接看

7. 分析技术员赵某的windows镜像,默认的浏览器是

Chrome

这里也是火眼分析出来

8. 分析技术员赵某的windows镜像,私有聊天服务器的密码为【答题格式:abc123】

Zhao

 解密扇区仿真起来之后,就可以看见有一个私有聊天密码,上面是账号下面是密码

9. 分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?【答题格式:www.baidu.com】

www.585975.com

 打开的图片前面有一张有网站,就是赌博网站

 

10. 分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?

Roop

 这里打开D盘的文件,可以找到有关换脸的软件

 

11. 分析技术员赵某的windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为【答题格式:1.txt】

db.jpg

 查看readme.md

--source为指定源文件,就是需要的脸的图片;--target为指定目标文件,就是需要换脸的文件;--output为指定结果,就是换脸后的图片

查看一下powershell的记录

12. 分析技术员赵某的windows镜像,ai换脸生成图片的参数中--similar-face-distance值为【答题格式:20.12】

0.85

 见上题

13. 分析技术员赵某的windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式:abc.txt】

dst01.jpeg

见11题

14. 分析技术员赵某的windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?【答题格式:http://www.baidu.com/1.html】

新约佛论禅/佛曰加密 - 萌研社 - PcMoe!

根据解密网站的提示,和在线网站,查看浏览器记录

15. 分析技术员赵某的windows镜像,赵某架设聊天服务器的原始IP地址为?【答题格式:192.168.1.1】

192.168.8.17

见上题,可以看见这个网站有admin和users操作,所以判断为聊天服务器 (同时提示了MoneyMoney)

16. 分析技术员赵某的windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?

2024-03-14 20:32:08

 见上题的截图,可以看见访问时间

17. 分析技术员赵某的windows镜像,openwrt的后台管理密码是

hl@7001

 检索过程中找到带有openwrt的图片,附带网址,在谷歌浏览器中保存的密码中就有对应网站,即密码

 

18. 分析技术员赵某的windows镜像,嫌疑人可能使用什么云来进行文件存储?【答题格式:阿里云】

易有云

 浏览器记录中翻到关于文件储存

19.分析技术员赵某的windows镜像,工资表密码是多少【答题格式:abc123】

aa123456

 用密码本commonpwd爆破表格

20.分析技术员赵某的windows镜像,张伟的工资是多少【答题格式:20】

28300

 打开工资表,第一个就是张伟

小总结

Windows部分基本不难,但是得到的很多信息其实不确定是不是这个点,而且一次提交机会,容错率很低,提交太急也会容易失分 ,正式打的第二次比赛,还不太熟练检索信息的使用工具,欢迎批评。

  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
这段代码是一个简单的C++程序,用于从文件中读取图的顶点和边信息,并存储在一个二维数组中。以下是对代码的解析: 1. `#include` 部分包含了一些必要的头文件。 2. `main()` 函数是程序的入口点。 3. `ifstream` 和 `FILE` 是用于文件操作的类和结构体。 4. `f.open("dsjc125.1.txt";` 打开名为 "dsjc125.1.txt" 的文件,如果打开失败则会输出错误信息并退出程序。 5. `char StrReading[100];` 用于存储从文件中读取的字符串。 6. `FIC >> StrReading;` 将文件中的下一个字符串读取到 `StrReading` 中。 7. `if ( FIC.eof() )` 检查是否已到达文件末尾。 8. `FIC >> N_node >> N_edge;` 从文件中读取图的顶点数和边数。 9. `for ( int x=0; x< N_node; x++ )` 和 `for ( int y=0; y< N_node; y++ )` 循环用于初始化二维数组 `Edge`。 10. `if ( strcmp(StrReading, "e")==0 )` 检查读取到的字符串是否为 "e",表示接下来是一条边的信息。 11. `FIC >> x1 >> x2;` 从文件中读取边的起点和终点。 12. `x1--; x2--;` 将顶点编号减1,因为数组索引从0开始。 13. `Edge[x1][x2]=Edge[x2][x1]=1;` 将边的信息存储到二维数组中。 14. `FIC >> StrReading;` 继续读取下一个字符串。 15. `FIC.close();` 关闭文件。 这段代码主要是读取一个图的顶点和边信息,并将其存储在一个二维数组中。但是代码缺少了一些变量的声明和定义,无法完整运行。如果需要更详细的解答,请提供完整的代码和文件内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值