2022第四届长安杯(1)，做了6年网络安全开发

方法二：在火眼证据分析的系统SSH里也能看到

检材3

20.检材3中，监听33050端口的程序名（program name）为

首先把docker打开

systemctl start docker

继续，查看socket情况

netstat -napt

docker-proxy

21.[多选题] 除MySQL外，该网站还依赖以下哪种数据库

A. Postgresql
B. Redis
C. Oracle
D. MongoDB

方法一：历史记录

历史命令发现nohup了redis和mongo

方法二：配置文件

第9-10题对jar包的逆向分析中，我们从spring框架web应用程序的配置文件——**application.properties**文件中可以看到网站数据库依赖

同时还发现了172.16.80.128:33050的**jdbc配置信息**，也就是它docker中MySQL的登录配置信息。

22.检材3中，MySQL数据库root账号的密码是

方法一：从反编译的admin-api.jar包中可以得到答案

方法二：在docker-compose.yml配置文件中也能找到

方法三:利用查看镜像的元数据

docker inspect 8e

23. 检材3中，MySQL数据库在容器内部的数据目录为

docker-compose的yml文件。从历史记录分析可以得出嫌疑人曾经多次查看这个文件

得知此文件在目录/data/mysql里面，进入查看得知

数据目录为/var/lib/mysql

方法二：进docker mysql内部 查看一下配置文件

方法三：文本搜索

进入docker容器内部，搜索一下常见mysql的证据文件

find / -name *.frm

24.涉案网站调用的MySQL数据库名为

好在22题中，对jar包分析中找到了数据库进行jdbc连接时用的URL，其格式为**子协议://服务器名或IP地址:端口号/数据库名?参数=参数值**。由此知道该jdbc连接的是172.16.80.128:33050的b1数据库。

25.勒索者在数据库中修改了多少个用户的手机号？

这个时候找到检材2的D盘，在D盘中可以找到数据库b1，还能看到start.sh 和 start_web.sh两个启动脚本

此处有个删改的数据库的记录

提到数据库用户操作，那自然是找MySQL日志，首先用show variables where Variable_name='general_log_file';命令找到MySQL日志路径

查看数据库日志，通过第23题的分析，容器外部数据库目录是/data/mysql/，进去后直接找到数据库日志/data/mysql/db/8eda4cb0b452.log

2022-10-19T03:20:39.001499Z 13 Query UPDATE b1.member SET mobile_phone = ‘13638991111’ WHERE id = 9
2022-10-19T03:20:41.851525Z 13 Query UPDATE b1.member SET mobile_phone = ‘13282992222’ WHERE id = 10
2022-10-19T03:20:44.184953Z 13 Query UPDATE b1.member SET mobile_phone = ‘13636993333’ WHERE id = 11

26. 勒索者在数据库中删除的用户数量为

搜索关键词delete即可，计数28条，id=973到1000，大概浏览一下发现全是删除用户的，没有掺杂其他干扰项。

另外一种方法是直接对数据库b1进行推断

在检材2中的D盘下，我们找到了删掉的b1数据库文件。利用数据库分析工具直接对其分析

用工具打开数据库文件之后，发现了三个表与题目关联度比较大，一个是交易记录，第二一个是用户钱包，第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个，初步怀疑是被删除了。

进一步分析发现id为973-1000的用户被删掉了

27.还原被破坏的数据库，分析除技术员以外，还有哪个IP地址登录过管理后台网站？用该地址解压检材4

检材3中的网站后台数据库b1都被删除了，检材2中有备份

对检材2中的b1数据库用弘连自带的工具直接进行数据库分析，admin_access_log表中只有172.16.80.100和172.16.80.197两个ip

检材1的登录ip是172.16.80.100，这个ip是技术员。那么172.16.80.197就是答案，这个ip应该是老板的ip

28.还原全部被删改数据，用户id为500的注册会员的HT币钱包地址为

用工具打开之后直接找到用户钱包的数据，然后找到了id=500的钱包地址

cee631121c2ec9232f3a2f028ad5c89b

29.还原全部被删改数据，共有多少名用户的会员等级为’LV3’

通过member_grade这个表了解到等级是三的用户的grade_code=3

30.还原全部被删改数据，哪些用户ID没有充值记录（使用 , 隔开）

31. 还原全部被删改数据，2022年10月17日总计产生多少笔交易记录？(答案填写阿拉伯数字，如“15”)

32. 还原全部被删改数据，该网站中充值的USDT总额为(答案填写阿拉伯数字，如“15”)

检材4

33. 嫌疑人使用的安卓模拟器软件名称是

解压出来是一个后缀是npbk的文件，百度一下是要用夜神模拟器打开，所以嫌疑人使用的是夜神模拟器。

34. 检材4中，“老板”的阿里云账号是

方法1：使用火眼对解压出的vmdk进行取证后，能识别到是安卓平台并启动相应的取证任务，在微信聊天记录里发现“老板”的阿里云账号为forensixtech1

方法2：使用火眼对解压出的vmdk进行取证，直接搜索阿里云，命中结果

35.检材4中安装的VPN工具的软件名称是

方法1：查看火眼分析应用列表

v2rayNG

方法2：夜神模拟器恢复备份就可以看到桌面应用

36.vpn工具中记录的节点ip？

37.检材4中，录屏软件安装时间为

查看火眼分析应用列表，可查看到包名为“luping”（录屏）的app，安装时间为2022/10/19 10:50:27

或者从下载文件夹中找到了录屏软件下载时间

38.上述录屏软件中名为“s_20221019105129”的录像，在模拟器存储中对应的原始文件名为

0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191

录屏软件相关数据位于分区4/data/com.jiadi.luping中，在databases中的record.db数据库记录了与s_20221019105129录像相关的信息

39.上述录屏软件登录的手机号是

在数据库文件夹里找到了record.db和record.db-wal，用db browser打开查看在moblie里面可以找到软件登录的手机号是18645091802

在夜神模拟器种直接恢复手机，然后打开录屏软件，点注销账号能直接看到手机号

40.检材4中，发送勒索邮件的邮箱地址为

skterran@163.com

exe分析

41.分析加密程序，编译该加密程序使用的语言是

根据在QQ邮箱中的记录，在附件中找到数据下载地址.docx_encrypted文件，在文件目录中对encrypt关键词进行搜索，可以发现加解密程序和加密文件都在检材二的D盘根目录

一眼pyinstaller打包程序

42.分析加密程序，它会加密哪些扩展名的文件？

jpg
png
zip
mp4
rar
7z
xls
docx
txt
mp3

常规的python逆向

方法1：在线反编译：pyc反编译 - 爱资料工具

方法2：PyInstaller打包的程序可以用Github上的开源工具pyinstxtrator来解包，下载后为方便起见，将pyinstxtractor.py复制到与exe在同一目录下，执行命令python3 pyinstxtractor.py encrypt_file.exe，在执行上述命令后生成的encrypt_file.exe_extracted目录下，找到与原 exe 名相同的 pyc 文件，即encrypt_file_1.pyc文件,用 uncompyle6 反编译

其中有一行“if ‘.txt’ == ExtensionPath or ‘.jpg’ == ExtensionPath or ‘.xls’ == ExtensionPath or ‘.docx’ == ExtensionPath:”直接指出是对txt.jpg.docx.xls的文件进行加密

43.分析加密程序，是通过什么算法对文件进行加密的？

异或

uncompyle6 version 3.5.0

Python bytecode 3.6 (3379)

Decompiled from: Python 3.7.2 (default, Dec 29 2018, 06:19:36)

[GCC 7.3.0]

Embedded file name: encrypt_file_1.py

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

34j-1712466873891)]

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-Um14Zq2b-1712466873892)]