检材密码:}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E
感谢各位大佬的指导(●ˇ∀ˇ●)
手机和服务器部分后续会发
每道题是图在上,文字在下
题目纯享版:
| 计算机 | |
| 1 | 网卡的Mac地址是多少?[标准格式:XX-XX-XX-XX-XX-XX] |
| 2 | 系统内部版本号是多少?[标准格式:12345] |
| 3 | 计算机系统开机密码是多少?[标准格式:根据实际值填写] |
| 4 | 分析计算机检材中手机流量包,请问黑客虚拟身份的密码是什么?[标准格式:x123] |
| 5 | 分析计算机检材中手机流量包,请问黑客人员使用的夜神模拟器的手机型号是什么?[标准格式:XX-X123X] |
| 6 | 分析计算机检材中手机流量包,请问黑客看视频的时间是几月份?[标准格式:1] |
| 7 | 分析计算机检材中手机流量包,请问“天戮宇宙”出自哪个小说平台?[标准格式:番茄小说网] |
| 8 | 请问在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写] |
| 9 | 接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com] |
| 10 | signed_xz.exe程序SHA1后6位是多少?[标准格式:524c62] |
| 11 | signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少?[标准格式:0c6875c2] |
| 12 | signed_xz.exe程序中节名为.reloc的虚拟地址是多少?[标准格式:0c526n5624] |
| 13 | 请分析检材中澳门新葡京APK其包名是?[标准格式:com.abcd.xxx] |
| 14 | 请分析检材中澳门新葡京APK是否加固,加固则说明是什么加固?[标准格式:360加固宝或未加固] |
| 15 | 请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据,则该权限的名称是?[标准格式:android.xx.xxx] |
| 16 | 请分析检材中澳门新葡京APK登录的api地址。[标准格式:https://www.baidu.com/api/login] |
| 17 | 请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是?[标准格式:123456790] |
| 18 | 请分析Navicat中root用户的密码是什么?[标准格式:@123Aa] |
必要截图:
火眼一把梭(比赛时候三个都试试)
答案:00-0C-29-BF-8B-30
必要截图:
火眼搜buildversion,即内部版本号
或取证大师直接看(图片有点糊)
答案:18363
必要截图:
火眼一字翻
答案:WAXD9128@
必要截图
流量包除了常见形式pcap等还有saz文件作为fiddler抓包软件抓取数据的保存形式
saz的“z”是zip,所以可以把saz文件改成zip解压查看信息。(我没有用这种方法)
翻到dididi.saz
用fiddler打开,ctrl+f搜索password可以找到
答案:a12345678
fiddler安装及汉化教程参考👇
Fiddle 抓包小白一步带过超详细教程(含汉化)_fiddler汉化-CSDN博客
必要截图:
火眼一把梭
答案:SM-G955N
必要截图:
接第四题,Fiddler搜mp4或者video,看见抖音。得到答案may
答案:5
必要截图:
fiddler翻(别的佬翻到的,太卷了)
浏览器一把梭hhhh
答案:起点中文网
必要截图:
嵌套证据发现模拟器,但是添加为新检材后看不到apk
新知识来啦!
因为要找模拟器的apk所以要找其npbk文件
火眼开搜找到文件
这张图可以看到nox.npbk,证实了npbk文件与模拟器的关联。没别的意思。
找到后导出,把npbk文件后缀改为zip解压
解压后得到镜像检材,导入火眼分析
找到apk许羽(与2024年龙信一样)
跳转到源文件计算哈希值
再用exel小写函数处理即可。
答案:340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e
必要截图:
根据题目提示.com,在敏感信息搜索得到答案。(敏感信息这儿主要就是搜,后面的题也是)
答案:anzhuo.com
下面三道10、11、12涉及到这个exe的题,首先第一步是怎么获取到这个exe,两种方法。
必要截图:
一是火眼直接搜得
二是:大家做题可能都注意到这个“新建文本文档.txt是容器密码”
没错,这个容器里就是这个exe程序
找到容器,大小一个g(找容器主要就是根据大小来找,一个g就很明显,其次是个“白图标文件”)
容器密码是密钥文件,把新建文本文档.txt传进去。找到signed_xz.exe程序
以上是两种方法,都有各的思路。
看题:
火眼直接算
答案:8955b1(注意小写)
必要截图:
①Ida反编译,在上方exports可以找到函数,得到相对地址004393c0(不是最终答案)
有大佬可否告诉怎么通过这个004393c0得到:0x4393c0,有佬说需要算?
②微步云沙箱一把梭:得到答案:0x4393c0
答案:0x4393c0
必要截图:
微步云沙箱一把梭:
Python代码一把梭(可以用ai编写),答案是带x的,比赛可以都试试答案
代码:
import pefile
# 使用绝对路径加载 PE 文件
pe = pefile.PE(r'setup_share_game_signed_xz.exe')
# 遍历所有节
for section in pe.sections:
section_name = section.Name.decode().rstrip('\x00')
print(f"节名: {section_name}, 虚拟地址: {hex(section.VirtualAddress)}")
if section_name == '.reloc':
# 获取虚拟地址
virtual_address = hex(section.VirtualAddress)
print(f".reloc 节的虚拟地址是: {virtual_address[2:].zfill(8)}")
答案:0x035b5000
必要截图:
雷电一把梭
答案:com.suijideszzuiji.cocosandroid
必要截图:
雷电一把梭
答案:未加固
必要截图:
雷电一把梭,看到sd卡的权限
答案:android.permission.WRITE EXTERNAL STORAGE
必要截图:
了解api,会在点击登录按钮后出现
雷电http抓包,重点操作注册和登录,观察抓到的包,根据题目所给的提示.com及login
将都出现的部分加上login即可。
注意:有反馈有抓包就闪退进不去的情况,可以先进软件,再开始抓包。因为主要看点登录和注册按钮的包。
答案:https://168js.bvocftd.com/ky188/member/memberManager/login
必要截图:
雷电敏感信息直接搜qq,找到可疑答案,点击跳转jadx确认信息的准确性
答案:1108221663
必要截图:
答案:(=3]Zwjt#W
扫一扫
4745
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
