2024FIC第四届全国网络空间取证竞赛线上初赛Windows参考WP

最新推荐文章于 2024-06-13 10:42:24 发布
最新推荐文章于 2024-06-13 10:42:24 发布
阅读量1k 收藏 20
点赞数 15
文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_79200709/article/details/138292476
版权

案情介绍

目录

案情介绍

Windows部分

小总结

2024年4月,卢某报案至警方,声称自己疑似遭受了“杀猪盘”诈骗,大量钱财被骗走。卢某透露,在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏,起初资金出入均属正常。但随后,李某称赌博平台为提升安全性,更换了地址和玩法,转为通过群聊抢红包形式进行赌博。随着赌资不断增加,卢某投入巨额资金后,发现无法再访问该网站,同时李某也失去联系,卢某遂意识到自己被骗。在经济压力下,卢某选择报警,并承认参与赌博活动,愿意承担相应法律后果。警方依据卢某提供的线索和手机数据,迅速锁定犯罪团伙,并在一藏匿地点成功抓获犯罪嫌疑人李某和赵某。警方对嫌疑人持有的物品进行了证据固定:李某手机被标记为检材1,窝点内服务器为检材2,赵某使用的计算机为检材3。 接下来,请取证工作者根据案情和这些检材进行深入分析,并解答后续问题。

Windows部分

1.分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?忽略大小写

FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

火眼直接分析,要等一会儿。

 

2.分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?忽略大小写

B25E2804B586394778C800D410ED7BCDC05A19C8

 首先是疑似vc加密容器,可以在火眼里先看一些疑似文件,或者直接仿真在里面看一看,找到一个2024fic,这样的文件应该会敏感一点。 

哈希值计算一下就可以了

 3.据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值?忽略大小写

E6EB3D28C53E903A71880961ABB553EF09089007

同样在文档中,还有一个commonpwd.txt,打开一看就是一个密码本,符合题目

4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?

qwerasdfzxcv

 这题其实比赛的时候太武断了,没考虑到只能提交一次答案,所以直接提交了图片上的答案,很亏,应该仔细看看的。还是同样的目录下,pswd.jpg打开时一个密码,但是题目说隐写,所以肯定没那么简单,拿到主机010打开,看到最后有real password

5. 分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么【答题格式:111111-222222-333333-444444-555555-666666-777777-888888】

404052-011088-453090-291500-377751-349536-330429-257235

这题就回到了2024fic的文件,由于题目提示,所以vc挂载一下,看看内容 ,挂载密码就是上一题得出的密码。

6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是【答题格式:1024】

146794496

这里就是,火眼直接看

7. 分析技术员赵某的windows镜像,默认的浏览器是

Chrome

这里也是火眼分析出来

8. 分析技术员赵某的windows镜像,私有聊天服务器的密码为【答题格式:abc123】

Zhao

 解密扇区仿真起来之后,就可以看见有一个私有聊天密码,上面是账号下面是密码

9. 分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?【答题格式:www.baidu.com】

www.585975.com

 打开的图片前面有一张有网站,就是赌博网站

 

10. 分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?

Roop

 这里打开D盘的文件,可以找到有关换脸的软件

 

11. 分析技术员赵某的windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为【答题格式:1.txt】

db.jpg

 查看readme.md

--source为指定源文件,就是需要的脸的图片;--target为指定目标文件,就是需要换脸的文件;--output为指定结果,就是换脸后的图片

查看一下powershell的记录

12. 分析技术员赵某的windows镜像,ai换脸生成图片的参数中--similar-face-distance值为【答题格式:20.12】

0.85

 见上题

13. 分析技术员赵某的windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为【答题格式:abc.txt】

dst01.jpeg

见11题

14. 分析技术员赵某的windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?【答题格式:http://www.baidu.com/1.html】

新约佛论禅/佛曰加密 - 萌研社 - PcMoe!

根据解密网站的提示,和在线网站,查看浏览器记录

15. 分析技术员赵某的windows镜像,赵某架设聊天服务器的原始IP地址为?【答题格式:192.168.1.1】

192.168.8.17

见上题,可以看见这个网站有admin和users操作,所以判断为聊天服务器 (同时提示了MoneyMoney)

16. 分析技术员赵某的windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?

2024-03-14 20:32:08

 见上题的截图,可以看见访问时间

17. 分析技术员赵某的windows镜像,openwrt的后台管理密码是

hl@7001

 检索过程中找到带有openwrt的图片,附带网址,在谷歌浏览器中保存的密码中就有对应网站,即密码

 

18. 分析技术员赵某的windows镜像,嫌疑人可能使用什么云来进行文件存储?【答题格式:阿里云】

易有云

 浏览器记录中翻到关于文件储存

19.分析技术员赵某的windows镜像,工资表密码是多少【答题格式:abc123】

aa123456

 用密码本commonpwd爆破表格

20.分析技术员赵某的windows镜像,张伟的工资是多少【答题格式:20】

28300

 打开工资表,第一个就是张伟

小总结

Windows部分基本不难,但是得到的很多信息其实不确定是不是这个点,而且一次提交机会,容错率很低,提交太急也会容易失分 ,正式打的第二次比赛,还不太熟练检索信息的使用工具,欢迎批评。

buuuu-
关注
  • 15
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
21FIC神秘比赛取证,综合性高,misc和取证结合,网站全新的docker架构,题目蛮有意思。
ntrybw的博客
03-29 2115
由于题目特殊,内部试题,检材必须私信我才能给,见谅见谅,真的是没办法,抱歉抱歉。案情一:警方收到受害者 A 报案称,其电脑感染勒索病毒,重要文件被病毒加密;经询问,A 称他在上网时,发现了一个帖子,其中有教程和“梯子”工具可以让他很方便的浏览境外网站,当他安装完成后,通过浏览器打开 google 网站后跳转到了一个色情网站,没有禁受住诱惑,A 点击了网站上的视频,播放视频需要下载播放器,当他下载完成并运行后,发现电脑重要文件被加密;
CEVA4000手册FIC总线
04-11
fic总线协议 The information contained in this document is subject to change without notice and does not represent a commitment on any part of CEVA ® , Inc. CEVA ® , Inc. and its subsidiaries make no...
FIC推出Linux PMP产品.pdf
09-07
FIC推出Linux PMP产品.pdf
2024FIC第四届全国网络空间取证竞赛
xydsg的博客
04-29 486
https://xyaxxya.github.io/2024/04/27/2024FIC%E7%AC%AC%E5%9B%9B%E5%B1%8A%E5%85%A8%E5%9B%BD%E7%BD%91%E7%BB%9C%E7%A9%BA%E9%97%B4%E5%8F%96%E8%AF%81%E7%AB%9E%E8%B5%9B/
2024第四届FIC初赛Writeup
啥都弄
04-29 1437
这套题做Windows和做服务器的队友一定要配合好,很多密码在Windows里都能找到。
2024FIC竞赛wp
m0_69407979的博客
04-30 847
2024FIC竞赛wp
2024FIC 第四届全国网络空间取证竞赛线上赛(服务器部分)
weixin_72667582的博客
05-05 1245
这次打了第四,还差一捏捏有点可惜了,思路没啥大问题,手贱交错几条flag。
2024第四届FIC竞赛服务器部分题解个人向小白
jungle___的博客
04-29 872
设置完成后重启系统,即可破解root密码。40.请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?34.rocketchat服务器中,聊天服务使用的数据库的版本号是?38.综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少。28.分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是。29.分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是。45.分析openwrt镜像,该系统中装的docker的版本号为。33.rocketchat服务器中,聊天服务的管理员的邮箱是?
2024年弘连网络FIC大会竞赛题线下决赛题
Tummyiii的博客
05-22 1316
接下来,我的博客停更半年,好好准备考试了。
2023FIC竞赛题目
m0_69407979的博客
04-20 1287
2023FIC竞赛题目
FIC6 24LC128.bin
07-16
AEM FIC-6 FIC6上面24LC128的编程器固件备份 有需要的可以试试 编程器直接备份还原 汽车外挂电脑用
FIC6 24LC512.bin
07-16
AEM FIC-6 FIC6上面24LC512的编程器固件备份 有需要的可以试试 编程器直接备份还原 汽车外挂电脑用
基于FIC8120和PoE的IP-Camera设计
10-18
为满足分布式单摄像机远距传输的需求,加快当今数字化网络化的现代化步伐,提出了创新的基于FIC8120(ARM-SoC)和PoE的全数字实时IP-Camera的实现方案,并详细阐述了系统组成结构及软硬件设计。该系统具有实时录像、...
2024年弘连网络FIC大会竞赛题-0518线下决赛题
xydsg的博客
05-21 675
经过一段时间的侦查,2023年3月25日,警方最终锁定了"lalala李"网络水军团伙的技术人员卢某,一举拿下了卢某的住所;2024年3月15日凌晨,受害人短视频平台上看到一段近期火爆的交通事故视频,留言后有人通过私信联系,称有一个赚大钱的机会,该人自称李某,提议让他到他们平台充值做代理;进入pve,将其他虚拟机关机,只开启nginx,将nginx的网卡桥接至我们的100段的网卡(ens36是100段的网卡)官方题解说可以在里面直接做,我只有nginx是由权限的,其他两个拿不到权限,只能导出做。
uniapp开发微信小程序预览文件+图片+嵌套网页
最新发布
m0_66879773的博客
06-13 225
【代码】uniapp开发微信小程序预览文件+图片+嵌套网页。
云服务平台仿真-身份认证/授权/申请和释放IT资源[云计算3]
weixin_63010525的博客
06-10 527
云服务平台仿真--身份认证/授权/申请和释放IT资源。
【C++11】常见的c++11新特性(一)
稻草人敲代码的博客
06-10 1055
c++11,即2011年发布的新c++标准。相比于c++98和03,c++11带来了很多变化,其中包含了约140多个新特性,以及对c++03标准中大约600多个缺陷的修正。这使得c++11更像是一个从c++98/03孕育出来的一个新版本。对比于之前的版本,c++11能更好的用于系统开发和库开发、语法更加的泛华和简单化、更加稳定和安全,不仅功能更加强大,而且能提升程序员的开发效率。这也是我们学习c++11的重要原因。下面介绍常见的一些c++11特性。左值引用只能引用左值,不能引用右值,比如。
Stream流的实际使用
m0_56664872的博客
06-10 321
可以在partioning中衔接lambda表达式,表明分区条件,返回值为Map,键为true和false,根据条件分开的两类数据分在两个分区中。Map方法的适用场景,接上例,对当前的包含对象的流数据转换为仅包含人名的流,那么就适合使用map方法来进行类型的转换。常规使用:在collect中指定collector收集器,进行对应类型的转换,如List、Set、Map等。reduce通过特定的函数对流中的元素进行反复操作,适用于求和、字符串拼接等操作。实用的方法:分组、分区、字符串连接。
#include <stdio.h> #include <stdlib.h> #include <iostream> #include <sstream> #include <fstream> #include <string.h> #include <time.h> #include <ctime> #include <vector> #include <string.h> int main() { ifstream FIC; FILE *fp; f.open("dsjc125.1.txt"; //File_Name表示文件名字 如File_Name = “dsjc125.1.txt" if ( FIC.fail() ) { cout << "### Erreur open, File_Name " << File_Name << endl; exit(0); } char StrReading[100]; FIC >> StrReading; if ( FIC.eof() ) { cout << "### Error open, File_Name " << File_Name << endl; exit(0); } int x1, x2; while ( ! FIC.eof() ) { char bidon[50]; if ( strcmp(StrReading, "p" )==0 ) { //FIC >> StrReading; FIC >> N_node >> N_edge; cout << "Number of vertexes = " << N_node << endl; cout << "Number of edges = " << N_edge << endl; for ( int x=0; x< N_node; x++ ) for ( int y=0; y< N_node; y++ ) Edge[x][y] = 0; } if ( strcmp(StrReading, "e")==0 ) { FIC >> x1 >> x2; x1--; x2--; if ( x1<0 || x2<0 || x1>= N_node || x2 >= N_node ) { cout << "### Error of node : x1=" << x1 << ", x2=" << x2 << endl; exit(0); } Edge[x1][x2]=Edge[x2][x1]=1; max_edg++; } FIC >> StrReading; } FIC.close(); return 0; }
07-09
这段代码是一个简单的C++程序,用于从文件中读取图的顶点和边信息,并存储在一个二维数组中。以下是对代码的解析: 1. `#include` 部分包含了一些必要的头文件。 2. `main()` 函数是程序的入口点。 3. `ifstream` 和 `FILE` 是用于文件操作的类和结构体。 4. `f.open("dsjc125.1.txt";` 打开名为 "dsjc125.1.txt" 的文件,如果打开失败则会输出错误信息并退出程序。 5. `char StrReading[100];` 用于存储从文件中读取的字符串。 6. `FIC >> StrReading;` 将文件中的下一个字符串读取到 `StrReading` 中。 7. `if ( FIC.eof() )` 检查是否已到达文件末尾。 8. `FIC >> N_node >> N_edge;` 从文件中读取图的顶点数和边数。 9. `for ( int x=0; x< N_node; x++ )` 和 `for ( int y=0; y< N_node; y++ )` 循环用于初始化二维数组 `Edge`。 10. `if ( strcmp(StrReading, "e")==0 )` 检查读取到的字符串是否为 "e",表示接下来是一条边的信息。 11. `FIC >> x1 >> x2;` 从文件中读取边的起点和终点。 12. `x1--; x2--;` 将顶点编号减1,因为数组索引从0开始。 13. `Edge[x1][x2]=Edge[x2][x1]=1;` 将边的信息存储到二维数组中。 14. `FIC >> StrReading;` 继续读取下一个字符串。 15. `FIC.close();` 关闭文件。 这段代码主要是读取一个图的顶点和边信息,并将其存储在一个二维数组中。但是代码缺少了一些变量的声明和定义,无法完整运行。如果需要更详细的解答,请提供完整的代码和文件内容。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值