1、分析李明轩的安卓手机,该手机的型号是?[答案格式: ABC123][★☆☆☆☆]
答案:DUK-AL20
2、分析李明轩的安卓手机,嫌疑人曾同过浏览器下载过一个文件,该文件名称是?[abc.abc][★☆☆☆☆]
答案:mToken-v2.apk
3、分析李明轩的安卓手机,嫌疑人所使用的微信绑定的手机号码是?[答案格式:12345678900][★☆☆☆☆]
答案:18610007404
4、分析李明轩的安卓手机,嫌疑人安装最近安装某钱包应用的名称是?[答题格式:微信 [★★☆☆☆]
答案:imToken
5、分析李明轩的安卓手机,嫌疑人保存了某钱包中的助记词,保存的时间是?[答题格式:2000-01-01-00:00:000][★★☆☆☆]
答案:2024/06/04-14:59:52
手机截屏
6、分析李明轩的安卓手机,群控后台程序的包名?[答案格式:com.tencnet.mm][手机取证][★☆☆☆☆]
答案:com.CloudAutomation.script
7、分析李明轩的安卓手机,群控后台程序的服务器IP地址是?[答案格式:127.0.0.1][APK取证][★★☆☆☆]
答案:180.76.145.80
8、分析李明轩的安卓手机,群控后台程序的服务器主域名地址是?[答案格式:baidu.com][APK取证][★★☆☆☆]
答案:smartcloudscript.com
9、分析李明轩的安卓手机,群控后台程序的登录账号和密码是?[答案格式:张三/a123123][APK取证][★★★☆☆]
答案:逆逆逆光/a12345678a
10、分析李明轩的安卓手机,群控后台程序的登录关联的邮箱地址是?[答案格式:123456789@qq.com][APK取证][★★★☆☆]
11、分析李明轩的安卓手机,分析群控后台程序,发现最多可以控制多少台手机设备?[答案格式:5][APK取证][★★★☆☆]
答案:10
12、分析李明轩的安卓手机,分析群控后台,发现后台实际控制多少了台设备?[答案格式:5][APK取证][★★★☆☆]
答案:8
13、分析李明轩的安卓手机,分析群控后台程序,发现客服虚拟账户信息是?[答案格式:12345134][APK取证][★★★★☆]
答案:2874662633
14、分析李明轩的安卓手机,发现持有者使用投递程序投递了多个文件,分析投递程序,发现该程序获得了多少个应用的信息?[答案格式:123][APK取证][★★★☆☆]
答案:264
PLAINTEXT
| |
有点争议
15、分析李明轩的安卓手机,分析投递程序,发现该程序接收过几个图片?[答案格式:123][APK取证][★☆☆☆☆]
答案:1
16、分析李明轩的安卓手机,分析投递程序,发现该程序接收过一个应用程序,程序的文件名称是?[答案格式:百度V1.12][APK取证][★★★★☆]
答案:云控后台V1.14
同上
17、分析李明轩的安卓手机,分析投递程序投递应用程序文件的日期是?[答案格式:20240701][APK取证][★★☆☆☆]
答案:20240630
同上
18、分析李明轩的安卓手机,李明轩在交流时使用了内部聊天工具,,犯罪团伙使用的聊天工具是?[答案格式:abc][★☆☆☆☆]
答案:mattermost
19、接上题,分析团队内部使用的聊天工具,聊天内容加密时使用的密钥是?[答题格式:r23kjnkjnk453oljkl[[★★★☆☆]
答案:2sxC6jD66ePndo1o
20、接上题,团伙在使用该工具聊天时,聊天内容主要集中在哪一天?[答案格式:2000-01-01][★★☆☆☆]
答案:2024-06-29
PYTHON
| |
21、聊天对话中提到使用模拟器代替真机,计划使用多少个模拟器开展业务?[答案格式:5][★★★★☆]
答案:10
PYTHON
| |
PLAINTEXT
| |
22、分析李明轩的安卓手机,使用的隐藏工具是?[★★☆☆☆]
答案:坚果隐藏
23、嫌疑人手机中使用隐藏工具隐藏了多少个应用?[答案格式:1][★★☆☆☆]
答案:3
24、隐藏应用打开的密码是?[★★★☆☆]
答案:2580
25、李明轩手机中曾有一个去过线下小店的图片,请根据图片找到目标小店的地址[答案格式:浦东新区崇景路100号][★★★★☆]
答案:临平区香榭路23-1号
谷歌识图
26、分析123.ipa,该程序的服务器地址是?[答案格式:127.0.0.1:62001][IPA分析][★★☆☆☆]
答案:8.134.24.184:12580
27、分析123.ipa,该程序的应用名称是?[答案格式:微信][IPA分析][★★☆☆☆]
答案:一见钟情
同上
28、分析123.ipa,该程序的打包厂商是?[答案格式:七扇门][IPA分析][★★☆☆☆]
答案:数字天堂
29、分析123.ipa,该程序的打包调证ID是[字符串ID+数字ID]?[答案格式:ADa+123123123][IPA分析][★★★☆☆]
答案:__UNI__3CA9430+122444030801
30、分析李明轩的计算机,系统最后一次正常关机时间是?[答案格式:2000-01-01-00:00:00]
答案:2024-06-30-06:49:49
31、分析李明轩的计算机,电脑中实际存在多少个模拟器?[答题格式:1][★★☆☆☆]
答案:5
32、分析李明轩的计算机中的模拟器,分析群控前端的服务器地址是?[答案格式:127.0.0.1][APK取证][★☆☆☆☆]
答案:180.76.145.80
33、分析李明轩的计算机中的模拟器,分析群控前端的连接后台的验证码是?[答案格式:127.0.0.1][APK取证][★★★★☆]
答案:ccca123123
34、分析李明轩的计算机中授权程序,授权主程序是什么语言编写的?[答案格式:java][二进制分析][★☆☆☆☆]
答案:python
35、分析授权程序,程序运行会将安装一个应用到连接的设备上,请问程序识别的apk名称是:[答案格式:微信.apk][二进制分析][★☆☆☆☆]
答案:云控.apk
36、分析授权程序,授权程序依赖的什么工具进行的权限申请?[答案格式:微信.exe][二进制分析][★★☆☆☆]
答案:adb.exe
37、分析授权程序,authorization.pyd文件导入了多少个dll?[答案格式:2][二进制分析][★☆☆☆☆]
答案:4
38、分析授权程序,authorization.pyd文件有一个导出函数,请问该函数名是:[答案格式:Add_final][二进制分析][★☆☆☆☆]
答案:PyInit_authorization
39、分析授权程序,authorization.pyd文件中,PyErr_Clear函数被调用了多少次?[答案格式:3][二进制分析][★★☆☆☆]
答案:10
import找到后交叉引用查看
- 查看type为p的address列中,一共有多少sub函数,不要管加号+后面的偏移
40、分析李明轩的计算机,嫌疑人使用个人邮箱接收购买的虚拟账号信息,使用的邮箱客户端是?[答案格式:outlook][★☆☆☆☆]
答案:foxmail
41、分析李明轩的计算机,嫌疑人轩通过邮箱接受到的资料中包含加密文件,解密文件是用到的密码是?[答案格式:12345678][★★☆☆☆]
答案:67237491
42、分析李明轩的计算机,嫌疑人轩把虚拟交易的交易地址存放在了某张图片中,采用的隐写算法是?[abc-abcde][★★★★☆]
答案:f5-steganography
Baddr.jpg
G3rling师傅的叮嘱:
silenteye有特征,oursecrt有特征,没看到这个就直接试其他的
43、分析李明轩的计算机,嫌疑人隐藏的虚拟币交易地址是?[答案格式:anrrtsnragrwtgtnhqhnthh] [★★★☆☆]
答案:TSEfx99Jjy93qgzaKmQFH9YygEF4YMKyaB
同上
44、嫌疑人李明轩保存的虚拟币地址数量为8888.88的一笔交易时间是?[答案格式:UTC2000-01-01][★★☆☆☆]
答案:UTC2024-06-27
45、分析王悦然的计算机,计算机开机密码是?[答案格式:字母数字组合][★★★☆☆]
答案:nbbw636
火眼仿真
46、分析王悦然的计算机,嫌疑人将隐写文件的解密方式记录并藏在了电脑中,记录解密方式的文件名是?[答案格式:abc.abc][★★★☆☆]
答案:jiemi.txt:ads.txt:$DATA
jiemi.txt无法打开,火眼看到流文件
47、分析王悦然的计算机,嫌疑人通过电脑管理192.168.52.111使用的密码是?[答案格式:abc][★☆☆☆☆]
答案:nacos
48、请分析服务器检材,找到黑客开始攻击的时间[答案格式:12:23:34][应急响应][★★★☆☆]
答案:06:24:12
团伙人员管理服务器找到对应日志路径
个人感觉答案应该是06:24:12
49、请分析服务器检材,找到服务器后台管理员的密码[答案格式:password][攻防渗透][★★☆☆☆]
答案:adad123..
50、请分析服务器检材,服务器的shiro-key值是多少[答案格式:sHiro+KeY==][攻防渗透][★★★★☆]
答案:zSyK5Kp6PZAAjlT+eeNMlg==
51、请分析服务器检材,对数据库中的用户手机号进行分析,找到归属地出现最多次数的省份[答案格式:山东][数据库分析][★★★☆☆]
答案:广东
52、请分析服务器检材,服务器中数据库的root密码是?[答案格式:root][数据库分析][★★☆☆☆☆]
答案:YueR@n2hiSh@ng
53、请分析服务器检材,目标团伙共有多少个小组?[答案格式:3][服务器取证][★★☆☆☆]
答案:10
改jar包 取消端口占用
54、请分析服务器检材,王悦然还运维过哪台云服务器?[答案格式:12.34.56.78][服务器取证][★★★☆☆]
答案:152.136.108.42
PLAINTEXT
| |
55、在李明轩的计算机浏览器中发现了他曾访问过一个博彩网站https://18.180.78.85:8443/,请根据图标特征找到同icon网址的域名[答案格式:test.com][渗透能力][★★★☆☆]
答案:pg87tt.com
56、在李明轩的计算机浏览器中发现了他曾访问过一个博彩网站https://18.180.78.85:8443/,请进行目录扫描,找到状态码为302的域名[答案格式:www.test.com][渗透能力][★★★☆☆]
答案:wns7.game.api.srv
57、在李明轩的计算机浏览器中发现了他曾访问过一个翻墙机场面板,IP地址为66.103.221.130,请探测目标共开放了几个端口[答案格式:5][渗透能力][★★★☆☆]
答案:13
58、在李明轩的计算机浏览器中发现了他曾访问过一个批号网www.pph666.com,请找到这个网站的真实IP地址。[答案格式:12.34.56.78][渗透能力][★★☆☆☆]
答案:43.240.12.233
59、在李明轩的计算机浏览器中发现了他曾访问过一个批号网www.pph666.com,请找到这个域名的最早注册时间[答案格式:2024年6月30日][渗透能力][★☆☆☆☆]
答案:2015年8月21日
60、在李明轩的计算机浏览器中发现了他曾访问过一个批号网www.pph666.com,请找到这个网站使用的中间件。[答案格式:apache][渗透能力][★☆☆☆☆]
答案:nginx
61、在李明轩的计算机浏览器中发现了他曾访问过一个推特账号-“主板机群控供应链”,请找到这个账号发布第一条推特的时间。[答案格式:2024年6月30日][社工技巧][★★☆☆☆]
答案:2023年10月10日
推特
62、在李明轩的计算机浏览器中发现了他曾访问过一个推特账号-“主板机群控供应链”,请找到这个账号的TG中文群链接是什么。[答案格式:t.me/hello][社工技巧][★★☆☆☆]
答案:t.me/Click_farm
推特
63、请分析李明轩的计算机检材,在邮箱邮件中有一个购买抖音账号客服人员的手机号,请利用社工手段找到对方的全名(互联网随机人物,不要联系对方)[答案格式:张明璇][社工技巧][★★★☆☆]
答案:王禄昊
支付宝转账
64、请分析李明轩的计算机检材,在邮箱邮件中有一个购买抖音账号客服人员的手机号,请利用社工手段找到对方的微博uid(互联网随机人物,不要联系对方)[答案格式:0123456789][社工技巧][★★★★★]
答案:1786748333
社工库
65、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器被黑客在后台插入的恶意js的完整网址?[答案格式:https://xss/a.js][应急响应][★★☆☆☆]
答案:https://msupdate.pt/ajax.js
66、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器被黑客添加的影子账户的名称/[答案格式:test$][应急响应][★★★☆☆]
答案:flytiger$
HKEY_LOCAL_MACHINE/SAM/SAM/Domains/Account/Users/Names或查看用户和组
67、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器被黑客植入木马的md5值[答案格式:e10adc3949ba59abbe56e057f20f883e][应急响应][★★★★☆]
答案:555d83c3c7b2f5e171e64cf1c0e512e8
68、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器被黑客植入webshell的连接密码[答案格式:password][应急响应][★★☆☆☆]
答案:xiaoma
同上
69、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器被黑客攻击的IP地址[答案格式:12.34.56.78][应急响应][★★☆☆☆]
答案:38.11.92.132
70、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器被黑客拖走的压缩包名称[答案格式:1.zip][应急响应][★★☆☆☆]
答案:getyou.zip
71、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器上成功登录的国内IP地址,服务器安全日志在桌面[答案格式:12.34.56.78][应急响应][★★★☆☆]
答案:1.189.147.172
LogParser -i:EVT -o:datagrid “SELECT TimeGenerated,EXTRACT_TOKEN(Strings,8,’|’) AS LoginType,EXTRACT_TOKEN( Strings,5,’|’) AS USERNAME,EXTRACT_TOKEN(Strings,17,’|’) AS ProcessName,EXTRACT_TOKEN(Strings,18,’|’) AS Client_IP FROM ‘C:\Users\Administrator\Desktop\results\Security.evtx’ WHERE EventID=’4624’ AND EXTRACT_TOKEN(Strings,18,’|’) NOT LIKE ‘%-%’ AND ( EXTRACT_TOKEN(Strings,8,’|’)=’10’ or EXTRACT_TOKEN(Strings,8,’|’)=’10’) ORDER BY TimeGenerated DESC”
72、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器当前的远程桌面端口号[答案格式:3389][应急响应][★★★☆☆]
答案:11890
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
73、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器后台的安全码[答案格式:123456][服务器取证][★★☆☆☆]
答案:183729
解题思路:目录为WWW/Application/Common/Conf/site.php
74、请分析王悦然运营的虚拟货币诈骗服务器检材,找到服务器微信支付的secrectkey[答案格式:123456][服务器取证][★★☆☆☆]
答案:be49d29fdf564c63353d1334a527e69c
75、请分析王悦然运营的虚拟货币诈骗服务器检材,找到网站管理员最后一次登录的IP地址[答案格式:12.34.56.78][服务器取证][★★☆☆☆]
答案:139.77.23.91
76、请分析王悦然运营的虚拟货币诈骗服务器检材,找到黑客在服务器上设置的权限维持木马每天什么时间自动启动[答案格式:12:00][应急响应][★★★☆☆]
答案:11:30
解题思路:打开计划任务管理器即可看到
77、请分析王悦然的个人计算机检材,找到计算机上的钓鱼文档,并找到C2的回连地址。[答案格式:[12.34.56.78][渗透能力][★★★☆☆]
答案:8.219.200.130
不懂
78、请分析代刷点赞服务器检材,访问网站页面后会释放恶意程序,请找到该恶意程序的名称答案格式:[test.exe][服务器取证][★★☆☆☆]
答案:svchost.exe
79、请分析代刷点赞服务器检材,发布的任务中是给哪个抖音账号进行点赞的?。答案格式:[老番茄][服务器取证][★★☆☆☆]
答案:独行影视
80、请分析代刷点赞服务器检材,服务器上的备份程序每周的周几运行?答案格式:[周一][服务器取证][★★☆☆☆]
答案:周三
81、请分析代刷点赞服务器检材,服务器上的备份程序生成的压缩包密码是?答案格式:[password][服务器取证][★★☆☆☆]
答案:8Juhf$sfM
82、请分析代刷点赞服务器检材,服务器上会员等级为黄金的用户,累计奖励在500元以上的有多少人?答案格式:[100][数据库分析][★★★☆☆]
答案:2295
83、请分析代刷点赞服务器检材,服务器上平台注册最早的username是什么?答案格式:[13000748123][数据库分析][★★★☆☆]
答案:7600635265