2024美亚春苗集训营基础班考核取证WP

前言：本次用于复现欢迎学习

检材一：

1、对检材1分析，其操作系统版本是？

A.win7家庭版
B.win10 家庭版
C.win7专业版
D.win10 教育版

FLAG:D

2、对检材1分析，操作系统登录用户名是？【答案格式：abc】

FLAG:admin

3、对检材1分析，其电脑网卡MAC地址是？【答案格式：AA-AA-AA-AA-AA-AA】

FLAG:00-0C-29-A9-4A-78

4、对检材1分析，其电脑最后一次关机时间是？【答案格式:2000-01-01 10:10:10】

FLAG：2021-07-23 16:38:50

5、对检材1分析，其电脑有多少个开机自启动程序？【答案格式:6】

这里是6 但是重复了一个所以是5个开机自启

FLAG：5

6、对检材1分析，其电脑中有多少条百度搜索记录？【答案格式:6】

FLAG:20

7、对检材1分析，其微信加入过多少个群组？【答案格式:6】

FLAG:8

8、对检材1分析，其电脑输入法在2021-07-23 14:52:23时输入过什么关键词？【答案格式:哈哈】

FLAG:汽油

9、对检材1分析，其中压缩包密码是？【答案格式:Abc123456】

解密以后导出压缩包，暴力破解即可 得到密码：123456

FLAG：123456

10、对检材1分析，找到其中作案计划，并列举计划文件MD5值后六位？【答案格式:abc123】

FLAG：dfe167

11、对检材1分析，其电脑中使用的邮箱地址是多少？【答案格式:abc@126.com】

FLAG：zhang_123@126.com

12、对检材1分析，其机主可能潜逃的城市是？【答案格式:厦门】

FLAG：三亚

13、对检材1分析，其机主可能要去投奔的人是？【答案格式:老王】

FLAG：黄姐

检材二：

14、通过对检材2分析，得知该手机品牌是？

A.xiaomi
B.VIVO
C.OPPO
D.coolpad

FLAG：D

15、通过对检材2分析，得知“李”推荐的记账软件名称为？（答案格式：名称）

FLAG：随手记

16、接上题，该记账应用的数据包名是？（答案格式：www.baidu.com）

FLAG：com.mymoney

17、通过对检材2分析，嫌疑人用过bestcrypt加密容器，其密码值是？（答案格式：123@abc）

FLAG：new123@wang

18、通过对检材2分析，嫌疑人曾使用手机连接过WIFI，名为ChinaNet-iuVW，其密码是？（答案格式：abc123）

FLAG：dq4kr7dg

19、通过对检材2分析，分析记账软件，得知王五支付李四费用为？（答案格式：123）

导出数据库文件mymoney.sqlite查询t_transaction表

PS：type值为1代表收款，type值为0代表付款

FLAG：2000

20、通过对检材2分析，分析记账软件，王五获得转账费用共计？（答案格式：123）

FLAG:110000

实操数据分析：

21、根据网上巡查发现有个张姓人员扬言要在2023年5月1号乘坐火车从“福州南“站到”北京西”站，去北京某机关单位拉横幅维权，请根据【01铁路订票信息表】研判出符合上述车票信息的张姓人员总数？（本题没有脏数据，直接按要求做题即可）

FLAG：13

22、某市最近频发异地流窜盗窃案件，现已筛选出该市的旅店住宿信息【02旅店住宿信息表】，请统计出在2023年5月1号、2023年5月3号、2023年5月5号这三天都有办理酒店入住以（“入住时间”为准）的可疑员总数？（本题没有重复记录、脏数据，“入住时间”字段格式都为yyyy-MM-dd HH:mm:ss，直接按要求做题即可）

SELECT COUNT(DISTINCT 证件号码) AS suspicious_count
FROM hotel_checkin
WHERE DATE(入住时间) IN ('2023-05-01', '2023-05-03', '2023-05-05')
GROUP BY 证件号码xiaox
HAVING COUNT(DISTINCT DATE(入住时间)) = 3;



第二种：
SELECT COUNT(DISTINCT 证件号码) AS 可疑人员总数
FROM (
    SELECT 证件号码
    FROM 02旅店住宿信息表
    WHERE 入住时间 = '2023-05-01'
    
    INTERSECT
    
    SELECT 证件号码
    FROM 02旅店住宿信息表
    WHERE 入住时间 = '2023-05-03'
    
    INTERSECT
    
    SELECT 证件号码
    FROM 02旅店住宿信息表
    WHERE 入住时间 = '2023-05-05'
) AS 三天都有入住的人员;

FLAG：6

23、请根据【03-铁路乘客信息表】【03-省份代码表】统计出非福建户籍到达厦门市（有厦门、厦门北）次数最多的份是哪个？（示范答案：广东省）

# 提取他们前两位， 后面这个是统计次数
SELECT LEFT(证件号码, 2) AS 身份证前两位, COUNT(*) AS 出现次数
FROM sheet0
WHERE 到站 IN ('厦门', '厦门北') AND LEFT(证件号码, 2) NOT LIKE '35%'  #过滤福建
GROUP BY 身份证前两位
ORDER BY 出现次数 DESC
LIMIT 1;

这里发现36是江西省

FLAG：江西省

24、雾底市接到匿名举报信息称有人在夜间通过电话沟通毒品交易的时间地点，请根据【04-雾底市话单信息表】筛选出所有电话号码在夜间22:00:00-23:59:59以内发起通话并且结束通话时间在第二天的电话记录数（需要考虑通话日期非标准）

select count(*) as 记录数 from (
    select *
    from kwan.11
WHERE TIME_TO_SEC(通话时间) BETWEEN  79200 AND  86399
HAVING (TIME_TO_SEC(通话时间) + 时长) > 86399
) as 记录数

FLAG：99

25、根据【05-前科人员信息表】，分析出高危重点人员提供给相关部门进行管控。计分规则为：“贩卖毒品”5分，“肇事逃逸”5分，“故意伤害他人”6分，除了上述三种案件类型外的都打3分，请统计出涉案总分值大于等于12分的前科人员总数？（例如李某一共涉及3次案件，分别是“贩卖毒品”、“组织卖淫”、“贩卖毒品”，则李某的总分为5+3+5=13分；本题没有重复数据、脏数据且“涉案时间”字段值都不一样，直接按要求做题即可）

SELECT 证件号码, SUM(
    CASE 
        WHEN 涉案类型 = '贩卖毒品' THEN 5
        WHEN 涉案类型 = '肇事逃逸' THEN 5
        WHEN 涉案类型 = '故意伤害他人' THEN 6
        ELSE 3
    END
) AS 总分
FROM sheet0
GROUP BY 证件号码
HAVING 总分 >= 12;

FLAG：3