2023美亚杯团体赛
团队赛容器密码
#Zfa2w^t88vDk%VSi2CxT5*nBmbWN3W2gosfqFR#4@gj48Gfc$4bCME$mu5$G8foubAy6zFgs5KzMLX9mt^&UoNdBxDnFjV6wz@Fv#oWu#ZQVgB9F%oh57vYiSEGEkbv
附加資料容器密码
RSTq3p%#vxQ6Ckq^LmYS$%RRj8xv#HDR97ofE#LMp2KimG*5bgE5cYpbvZBLEM4%cA8i#^5$^NFEcjpW!YeQQrWsHckKvCoGkm!7kyY$#x3%x#!*q2R4h$4r3B%ewe@X
官网答案:
https://www.meiyacup.com/Mo_index_gci_36.html
参考答案:
https://www.cnblogs.com/WXjzc/p/17852716.html
https://mp.weixin.qq.com/s/CbUtF4xEuZ66GSRXOWnS3w
19-26等学了病毒再过来看看
比赛的题目难度对我来说还是比较大的,陳大昆的電腦鏡像,我电脑上的镜像应该出了点问题,以后有时间再来复盘吧,把这个补起来,最后涉及到逆向知识的还没学过
二、团体赛
(一)案情
2023月10月某日,香港警方在新界某地方接报一宗凶杀案。男子李哲圖(李哲圆)被发现用残暴的方式遭杀害。从死者李哲圖的手机检查中,警方发现最近两个月内,死者经常和一名女子李佩妍(Peggy) 和三名男子分別因為陳大昆(陈大昆)(Ben),潘志輝(潘志辉)(Peter)和陳好(陈好)(Leo)联系,怀疑他们与案件有关,随后警方提取相关人员的手机和电脑做进一步调查。
经查得知,这三名男子 (陳大昆,潘志輝,陳好) 系同一个诈骗组织,而上述的一名女子李佩妍曾经是男死者李哲圖的女性密友。现在你被委派处理这个案件,请用以下的检材资料分析上述人士是否涉嫌犯罪,并还原事件经过。
(二)检材资料
1.李哲圖的安卓手机镜像文件 (李哲圖的手機鏡像.zip)
2.李哲圖的车辆录像文件(李哲圖的車輛錄像.zip)
3.李哲圖的航拍机系统文件(李哲圖的航拍機.zip)
4.李哲圖的Windows计算机镜像文件(李哲圖的電腦鏡像.zip)
5.来自李哲圖的计算机网络封包文件(packet.pcapng)
6.李佩妍的iOS手机系统文件(李佩妍的手機鏡像.zip)
7.李佩妍的Windows计算机镜像文件(李佩妍的計算機鏡像.zip)
8.陳大昆的iOS手机系统文件(陳大昆的手機.zip)
9.陳大昆的Windows计算机镜像文件(陳大昆的計算機鏡像.zip)
10.陳大昆的macOS计算机镜像文件(陳大昆的MacBook.zip)
11.潘志輝的NAS盘镜像文件(潘志輝的NAS.zip)
12.潘志輝的U盘镜像文件(潘志輝的U盤.zip)
13.潘志輝的Windows计算机镜像文件(潘志輝的計算機鏡像.zip)
14.潘志輝的安卓手机系统文件(潘志輝的手機.zip)
15.陳好的Windows笔记本电脑镜像文件(陳好的計算機.zip)
16.陳好的安卓手机系统文件(陳好的手機.zip)
(三)可能用到的软件
1.Windows分析工具
2.macOS程序分析工具
3.虚拟机加载工具
4.数据库分析工具
5.网络封包分析工具
6.手机系统分析工具
7.OpenStego
8.OpenSSL
(四)要求
参赛人员比赛用的计算机不要安装任何防毒工具,以防止不能正确使用所需的比赛软件或检材
1.参考’blk0_sda.bin’,死者手机中的一个智能家居应用程序中的帐号是什么?提示:请以阿拉伯数字填写答案(1分)
1826082897
data文件夹下面找米家的包名,然后再进去检索查看
这个数据库里面也是有的
2.参考’blk0_sda.bin’,死者手机中的智能家居应用程序内的智能门铃发送的最后一次通知消息的本地时间?(1分)
2023-09-26 23:51:18
3.参考’blk0_sda.bin’,死者在「Carousell」应用程序中首先接触的卖家是售卖什么类型产品的?(2分)
运动鞋
4.参考’blk0_sda.bin’,死者在「FacebookMessenger」应用程序中最后联系人的使用者的名字?提示:请用简体中文填写答案。(2分)
杨漫漫
查找到包名com.facebook.orca
cached participant thread info 表
message表
看时间戳和thread_key确定联系人员
5.参考’blk0_sda.bin’,死者曾经用「Fitbit」应用程序记录一次跑步的数据,该次跑步是由何时开始?(1分)
2023-09-13 12:37:38
blk0_sda.bin/分区24/data/com.fitbit.FitbitMobile/databases/exercise.db中的EXERCISE SESSION表
blk0_sda.bin/分区24/data/com.fitbit.FitbitMobile/databases/activity_db中的MOST RECENT ACTIVITY表
90009是跑步的id
6.参考’blk0_sda.bin’,死者除曾经用「Fitbit」应用程序记录一次跑步的数据外,他也用哪一个应用程序记录同一次跑步?(1分)
blk0_sda.bin/分区24/data/com.fitnesskeeper.runkeeper.pro/databases/RunKeeper.sqlite数据库
这个时间戳是上一题的fitbit跑步的时间戳,二者时间差不多,可以推断为同时记录的软件
7.参考’blk0_sda.bin’,死者跑步起点的经纬度是多少?(1分)
114.16867,22.280434
blk0_sda.bin/分区24/data/com.fitnesskeeper.runkeeper.pro/databases/RunKeeper.sqlite数据库
8.参考’blk0_sda.bin’,无人机卖家的电话号码是多少?提示:答案包括没有任何空格的国际电话代码,例如0085261231234(2分)
85257352259
85257352259@s.whatsapp.net是卖家
9.参考李佩妍的手机镜像,李佩妍在Facebook建立了一个群组,该群组的名称是什么?提示:请用大写英文作答,不用留空白(1分)
DJIDRONESHONGKONG
定位数据库
翻出来
10.参考李佩妍的手机镜像,李佩妍第一次用计算机登入Facebook帐户的日期和时间?(2分)
2023-07-26 14:37:40
还是第9题的数据库里面,secure_message_peer_devices_v2表
***11.参考李佩妍的手机镜像,李佩妍在2023年9月3日曾经操作航拍机,请问起飞地点的经纬度是多少?提示:以经纬度坐标回答有关答案,答案如Lat:22.2846135,Lon:114.1739116,请用以下格式作答,22.2846135,114.1739116。(2分)
22.356558,114.093962
网站解析txt飞行记录https://app.airdata.com/
官方答案
12.参考李哲图的手机镜像,李哲图手机内安装了什么恶意软件?(1分)
com.metasploit.stage,com.cad_epuas_reactnative
com.metasploit.stage包名查看
这一段代码,payload应该是攻击
com.cad_epuas_reactnative是sua2.apk的包名
分析该软件
13.参考李哲图的手机镜像,李哲图手机内package“com.cad_epuas_reactnative”的app名是什么?提示:请以中文和全英文大写填写答案(1分)
SUA一站通
学习源码找应用名称的方法:
一个坑点,我们检测应用名,一般就是从清单文件读取,有两种情况,一种就是application标签里android:label的值直接是应用名
但这种方式得出来的结果应该不正确
另一种就是图中的方式
在用这个方式获取应用名时,我们检测软件一般是直接获取resources.arsc里values目录下strings.xml文件或者是values-zh-rCN中的值,也就是eSUA
但这里出题方是香港,检材也是那边做的,所以得用values-zh-rHK
14.参考李哲图的手机镜像,“com.cad_epuas_reactnative”拆包后,内有哪一个“类(class)”能找到黑客IP有关的线索?(2分)
com.cad_epuas_reactnative.cashk.Ywnvt
tcp连接,这个ip就是chrome连接的ip下载的SUA一站通
15.参考李佩妍的计算机镜像,李哲图计算机的外部IP是多少?提示:用IPV4格式回答(1分)
59.152.211.13
发现桌面有AnyDesk图标
检索logged
16.参考李佩妍的计算机镜像,李佩妍计算机内的Kali虚拟机时区是多少?提示:不要输入符号及空白,以全大写英文回答(1分)
EASTERN
虚拟机里不能打开虚拟机
尝试了用火眼导出该镜像,时间太长了;挂载为新检材,卡在了自动识别证据类型
使用ufs挂载又快又简单
直接搜索timezone,就能看到
***17.参考李哲图的计算机镜像,在李哲图的计算机上,有一个文件内藏有木马病毒,请问该文件的名称是什么?提示:以全大写英文字母回答,不包含符号或空格,例如,“ABC.TXT”(1分)
GOALDOC
Music下面这个goal.doc是木马
用微步扫描出木马
把病毒方面的知识了解了,再过来看看
18.参考李佩妍的计算机镜像,在2023-09-26 10:00(UTC+8)至2023-09-26 11:00(UTC+8)时间内,李佩妍在李哲图的计算机下载了一个文件,请问文件名是什么?提示:不要输入符号及空白,以大写英文回答。如,ABC.TXT(1分)
BHBRECORDBYDAVIDXLS
看李哲图计算机
NVMe PM991a NVMe Sams.e01/OS/Users/chris/Downloads/BHB record by David.xls
***19.参考李佩妍的计算机镜像,在2023-09-26 11:22(UTC+8)时间,李哲图当时所在地方的经纬度是多少?提示:将经纬度合并回答。如22.2846135(Latitude)114.1739116(Longitude),需回答22.2846135,114.1739116(1分)
没仿起来,一直有报错
报错代码尝试解决,未果
见川哥题解
***20.参考陈好计算机的镜像,从目标服务器窃取数据要执行哪一个文件?(包括文件名的扩展名)提示:以大写英文字母回答,如,ABC.TXT(1分)
***21.参考陈好计算机的镜像,用在执行「从目标服务器窃取数据要执行的文件」的软件是什么?(包括文件扩展名)"提示:以大写英文字母回答,ABC.TXT(1分)
***22.参考陈好计算机的镜像,存储该「从目标服务器窃取数据要执行的文件」的原始路径是什么?提示:以大写英文字母与以下格式填写答案(例如:\USERS\HO328\APPDATA\LOCAL\PROGRAMS\TESTING.TXT)(2分)
***23.参考陈好计算机的镜像,执行该「从目标服务器窃取数据要执行的文件」后将创建哪些文件?(包括文件扩展名)(1分)
***24.参考陈好计算机的镜像,目标服务器的IP地址及服务器的端口是多少?提示:将IP地址及服务器的端口合并回答。如123.123.123.123:80。(1分)
***25.参考陈好计算机的镜像,通过执行"李佩妍在李哲图的计算机下载的文件"成功窃取了以下哪些数据?i)current_ui_customer_descriptionii)emailiii)tokeniv)customer_stage(1分)
***26.参考陈好计算机的镜像,有多少条客户信息被盗取?(包括首尾项目)提示:请以阿拉伯数字作答(1分)
27.参考’TeslaCam.e01’,当哨兵模式运作时,共有多少个镜头将会进行记录?(第三方安装的电子狗不计在内)提示:请以阿拉伯数字作答(1分)
4
***28.参考"https://www.tesla.com/support/videos/watch/live-camera",当车主利用手机查阅车辆实时影像时共有多少个镜头正在运作以供查阅?提示:请以阿拉伯数字作答(1分)
29.参考’TeslaCam.e01’,当哨兵模式运作时,系统会自动记录多长时间的影像?(2分)
10分钟
***30.参考’TeslaCam.e01’,在2023年10月2日上午11时51分,到底发出了什么事件令哨兵模式被触发?请用小写英文字母与以下格式作答xxx_xxx_xxx_xxx(2分)
空文件夹
***31.参考’TeslaCam.e01’,男死者李哲图死在9月末,但是其车辆的哨兵模式在2023年10月02日的上午被启动,从SentryClipsFolder内找出有关片段,确认有什么事件引发录制。(3分)
五个空文件夹
***32.参考’TeslaCam.e01’,按照SentryClips内’2023-10-02_11-51-40’的活页夹,请找出男死者李哲图私家车当日的停泊位置。提示:以经纬度坐标回答有关答案,答案如Lat:22.2846135,Lon:114.1739116,请用以下格式作答,22.2846135,114.1739116。(3分)
如果这题文件夹要是有,应该是在event.json文件里面
33.参考’TeslaCam.e01’,在’event.json’文件,我们发现有一栏显示为"Camera:6",这是什么意思?提示:请浏览特斯拉有关的网站或讨论区。(3分)
右边镜头
在网上找了,没找到
34.参考’TeslaCam.e01’,有人曾驾驶男死者李哲图的车辆前往香港迪斯尼乐园,期间有车辆从男死者的车辆后方驶走,请找出在"2023-09-30_alerted"照片中有关车牌号码?请以大写英文与以下格式作答,如:AB_123(3分)
JV_820
我写的答案是JV_020
35.参考’dji.go.v5’,按照WhatsApp聊天记录,得知Chris曾与Peggy在2023年09月07日外出玩无人机。飞行记录"DJIFlightRecord_2023-09-07_[17-33-52]"的文件路径?(1分)
\media\0\Android\data\dji.go.v5\files\FlightRecord
36.参考’dji.go.v5’,在李哲图的LG手机内2023年9月7日内有多少次飞行记录?提示:请用阿拉伯数字作答(2分)
4
***37.参考’dji.go.v5’,尝试找出與原点最远的距离,并从日志文件中找出所有有关区域的经纬度坐标。(3分)
A.3,064.3ft
B.3,100.1ft
C.3,201.6ft
D.Lat:22.2855113649764,Lon:114.111954829708
E.Lat:22.2855161086729,Lon:114.111957385297
F.Lat:22.2855211183398,Lon:114.111960153012
这个最远距离有点问题
D
E
F
38.参考’dji.go.v5’,在2023年09月07日,Chirs和Peggy曾经外出玩无人机,并用无人机拍摄一张照片"dji_fly_20230907_172136_63_1694078794485_photo_optimized.jpg",请问拍摄照片时,无人机的高度值是多少?(2分)
116.781
文件夹里面没有,去手机里面看看
李哲圆手机里面
*39.参考’陈好的计算机镜像’,陈好用了云端运算来构建钓鱼网站,这网站的IP地址是多少?提示:以IPV4格式回答,如123.123.123.123(1分)
40.参考’陈好的计算机镜像’,陈好在云端运算建立了linux的系统,请问这系统的使用者ID是什么?提示:请全部用英文小写作答,例子:tommychan(1分)
foradmin
41.参考’陈好的计算机镜像’,在2023年8月25日至2023年9月05日期间,下列哪些IP地址成功登录云端运算?(2分)
203.198.117.194,121.202.228.82,61.239.58.8,210.3.89.98,61.92.200.176
查看登录日志```/var/log/wtmp`
42.参考’陈好的计算机镜像’,在2023年9月10日至2023年9月16日期间,哪个IP地址透过SSH连接,不断密码攻击陈好所使用的云端计算的linux系统?(只计最高值)提示:以IPV4格式回答(2分)
170.64.177.67
ssh认证日志,var/log/auth.log*
正则表达匹配,复制导出成文件
import re
src = []
target = []
total = 0
max1 = 0
with open('E:\CTF脚本\频率计算.txt',mode='rt',encoding='utf-8') as f:
# 去重数据
for line in f:
src.append(line)
if line not in target:
target.append(line)
for i,line1 in enumerate(src):
ma = re.findall('\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}',line1)
src[i] = ma[0]
for i,line1 in enumerate(target):
ma = re.findall('\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}',line1)
target[i] = ma[0]
for j in target:
for line in src:
if j == line:
total += 1
print(f'{j}:{total}')
if total > max1:
max1 = total
total = 0
print(max1)
脚本分析统计
170.64.177.67
43.参考’陈好的计算机镜像’,陈好所用的云端运算,所用的linux系统,内有安装Mysql,请问哪个是他的密码?(2分)
qax@WSX3edc
查看历史命令
history命令对应的是 abcd/分区6/root/.bash_history 下的文件
44.参考’Meiya_StaffB_laptop.e01’,陈好所使用的手机中,用了云端运算来构建钓鱼网站,这网站的主题是什么?(1分)
加密货币投资
45.参考’陈好的计算机镜像’,陈好在云端运算上用的Linux系统,请问这个镜像文件的主文件名?提示:请用大写字母与阿拉伯数字作答,并不需要扩展名(1分)
ABCD
46.参考’陈好的计算机镜像’,陈好构建的钓鱼网站最终偷取了多少位客户的密码?请以阿拉数字作答(3分)
24
查看数据库
47.参考’陈好的计算机镜像’回答以下题目陈好用了"MAMP"的程序在本地主机测试构建的钓鱼网站,请问他测试时用了哪个网络服务器和用了什么通讯端口?(2分)
这个是apache的配置文件中的配置路径
这个是ngnix的配置文件中的配置路径
这里也有index.php,内容相同,应该是测试站点
那服务应该就是apache,端口
根据选项搜索
48.参考’陈好的计算机镜像’,陈好构建的钓鱼网站,最终成功盗取了几张信用卡的资料?提示:请用阿拉伯数字作答(3分)
25
见46题
***49.参考’陈好的计算机镜像’,陈好所用的云端运算中,内装有MicrosoftAzureLinuxVM代理程序,这个程序的功能包含配置,资源扩展,通信,安全性,诊断数据等等,请问个程序的名字是什么?(1分)
waagent
50.参考’陈好的计算机镜像’,陈好所用的云端运算,以下描述是正确的:(2分)
i)订用账户标识符:99b1a232-105e-4852-afds-54a74f75668
ii)虚拟机的计算机名称:Netinvestment
iii)资源组名:Netinvestmentmeiya_group
iv)公钥:AAAAB3NzaC1yc2EAAAADAQABAAABgQDS/GbG00y/3DbUI0Q8MrrsvcGTKOad3hYRgApBWlALq48y9bHHmM3DaxM460cnAfz5aDMfVghyX+sevI7PP0UwhevgVUVJ5NZyc98Yi0XDEcPF9nxQOBp49yzwBpy/KwCbMJxBvLNuEtazw+TU6k6bXn62g42f1ljyWZP3vbMGmYnJUjpTE0uhXTqr8PYDKVZrEQWpB2v53IegCXI4La2rScJNKmAIo9pXvdyJkDda74k1vKPj7zUMCsUbpVN/CwZUAZazARyILbz7GK/PvsRp/jWmyo2gbhxk6SoyvRYT8uDK3ifeHcg89jlM6qXS4tGBu2JH+fY/G6WVUJFBjrU9/yyI+i9g9mr+zq5e4D1fWZ/TpLK3RK5JMFUf/L+qQRLoysY6APHZ+WrmM5dJsLgIC9PUmdM3arQGLM6KHQ0+R03phHaK+lo+5QDyVIktJ4wMMfhFSaR6ozHjCzzh8h0Ka+eV6aken1XVs0wIvHYokweRx3W//+N3ZvF9q7cmNuE=generated-by-azure
ii),iii),iv)
ii对
资源组
/etc/opt/microsoft/azuremonitoragent/config-cache/configchunks/3565456141484303447.json
iii对
ID为
ods这里要删掉,第一是ods应该是某种格式,第二是id一般都是数字字母混杂,这里就要注意了
i错
公钥
```/home/azureuser/.ssh/authorized_keys`
51.请参考陈大昆MacBook镜像文件回答以下题目:这台MacBook创建了多少个访客账户?(1分)
2
ben也是管理员权限
*52.请参考陈大昆MacBook镜像文件回答以下题目:这MacBook的用户名称是什么?(名称包括所有英文字母、数字和符号,区分大小写,不需要空格)(1分)
Ben
53.请参考陈大昆MacBook镜像文件回答以下题目:这台MacBook中曾连接了多少个WIFI(WIFISSID)?(1分)
3
***54.参考’陈大昆的计算机镜像’,在这个取证镜像文件中有多少用户配置文件具有浏览历史?(1分)
A.1
B.2
C.3
D.4
55.请参考陈大昆MacBook镜像文件回答以下题目:请提供以下文件的内容:“f.rtf”、“a.rtf”、“f1.txt”和“a1.txt”。(填写文件内容所有英文字母、数字和符号,区分大小写,不需要空格)请按照以下格式回答:xxx_xxx_xxx_xxx例子:如(1)的内容是abc,(2)的内容是123,(3)的内容是DEF,(4)的内容是8.8请填写:abc_123_DEF_8.8(2分)
f.rtf_a.rtf_funnystuff_autogpt
看历史命令
Zi5ydGYK
YS5ydGYK
ZnVubnlzdHVmZg==
YXV0b2dwdA==
base64解密
f.rtf
a.rtf
funnystuff
autogpt
56.请参考陈大昆MacBook镜像文件回答以下题目:有两个加密的.dmg文件在取证镜像文件内。按照.dmg文件的创建时间先后,请填写下面的空白:文件名称包括扩展名(如adcd.dmg)第一个创建.dmg文件的名称是:_,密码是:第二个创建.dmg文件的名称是:_,密码是:请按照以下格式回答:xxx_xxx_xxx_xxx,例子:如(1)的内容是abc、(2)的内容是123、(3)的内容是DEF、(4)的内容是8.8,答案为:abc_123_DEF_8.8(2分)
funnystuff.dmg_funnystuff_auto.dmg_autogpt
搜索dmg
第一个文件funnystuff.dmg利用passware进行攻击破解尝试,猜测第55题funnystuff、autogpt
第二个文件同样尝试
第一个创建.dmg文件的名称是:funnystuff.dmg
密码是:funnystuff
第二个创建.dmg文件的名称是:auto.dmg
密码是:autogpt
funnystuff.dmg_funnystuff_auto.dmg_autogpt
*57.请参考陈大昆MacBook镜像文件回答以下题目:有一个应用程序托管在.dmg文件中,该程序需要一个密钥才能启用,请填写以下空格:(文件名称包括所有英文字母、数字和符号,区分大小写,不需要空格)存有密钥的文件名称是:__密钥的值是:__**请按照以下格式回答:xxx_xxx,例子:密钥文件名称是:abc.def,密钥的值是:123,答案为:abc.def_123(2分)
安装个苹果虚拟机我再来试试
***58.参考’陈大昆MacBook镜像文件’,按照相关记录,该应用程序使用了哪个版本的引擎?(2分)
都在上一题里面
59.参考’陈大昆MacBook镜像文件’,按照您的检验,以下哪个陈述(或多个陈述)在描述路径“~/Desktop/.Spotlight-V100/”下的文件是正确的?(3分)
A."coins1.jpg alias"是一个档案捷径(alias)
B."coins.jpg alias"和"coins1.jpgalias"都是符号链接(Symlink)文件
C."CryptoWallet-link1"是一个档案捷径(alias)
D."CryptoWallet-link1"和"CryptoWallet-link2"链接相同的文件
E."CryptoWallet-link2"是一个硬链接(HardLink)
ADE
"coins1.jpg alias"是一个档案捷径(alias)
这个图是coins1.jpg alias指向的图片
"coins.jpg alias"和"coins1.jpgalias"都是alias,而不能说是Symlink,软连接
"CryptoWallet-link1"很明显是一张图片
"CryptoWallet-link1"和"CryptoWallet-link2"是相同的文件
C错
如果现在有可能,"CryptoWallet-link1"和"CryptoWallet-link2"有可能是硬链接(HardLink)
查看命令
硬链接,所以DE是对的
60.参考’潘志辉的计算机镜像’,在换脸软件的“源视频转图片”程序中,不支持下列哪一类文件?(1分)
A.data_src.flv
B.data_src.mpeg
C.data_scr.mp4
D.以上文件都可以支持
换脸软件
61.参考’潘志辉的计算机镜像’,目标视频转换了多少张图片?(1分)
316
62.参考’潘志辉的计算机镜像’,已换脸的图片储存在哪个路径?(1分)
Users/DFRNC - C59204/Desktop/DeepFaceLab_NVIDIA_RTX3000_series/workspace/data_dst/merged
63.参考’潘志辉的计算机镜像’,在这案件中,使用了哪个程序将图片换脸?(1分)
A.train AMP.bat
B.train SAEHD.bat
C.train Quick96.bat
D.train AMPSRC-SRC.bat
B
64.参考’潘志辉的计算机镜像’,实时换脸软件可使用多少个模型?(1分)
16
batch_size:16
65.参考’潘志辉的计算机镜像’,实时换脸软件用了哪一个模型?(1分)
D
要么C,要么D
66.参考’潘志辉的计算机镜像’,在这案件中,换脸软件训练了哪些模型?(答案不用副文件名,例如Jackie_Chan.dfm只需输入Jackie_Chan)(2分)
DianPian_SAEHD_model`、```4live_SAEHD_model
67.参考’潘志辉的计算机镜像’,4live_SAEHD_model训练了多少迭代次数?(1分)
1253447
68.参考’潘志辉的计算机镜像’,换脸软件输出的文件名是什么?(1分)
result.mp4
69.参考’潘志辉的计算机镜像’,分析潘志辉计算机的镜像后,相信他曾使用不同的遥距控制软件控制3部设备。请选择他曾使用的遥距控制软件。提示1:软件1显示SamsungGalaxyS7的设备编号(DeviceID):1062919330&潘志辉的计算机设备编号:228758166,
提示2:软件2显示LM-G710EAW5的ID:LM-G710EAW1f703895,
提示3:软件2显示LG-D855的ID:LGE-LG-D855(2分)
A. teamviewer
B. rustdesk
C. totalcontrol
D. Pushbullet
rustdesk
totalcontrol
70.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,可推论潘志辉用哪一个软件作一站式管理所有涉及的电子设备(1分)
A. RustDesk
B. Total Control
C. Pushbullet
D. Teamviewer
C
Pushbullet
71.参考’潘志辉的计算机与手机镜像’,按照潘志辉的计算机与手机镜像可推论潘志辉正进行以下哪种犯罪(1分)
A. 网上求职骗案 (Online employment fraud)
B. 钓鱼攻击 (Phishing Attack)
C. 裸聊勒索 (Naked Chat Blackmail)
D. 信用卡盗用 (Credit Card Fraud)
B
72.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,总共有多少个电子设备登入Pushbullet?提示:请用阿拉伯数目字作答(2分)
7
图标
/Users/DFRNC - C59204/AppData/Local/Pushbullet/devices.json.gz
一共七个
73.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,潘志辉只有一个电子邮件账户,哪一天是该账户第一次登入Pushbullet?提示:请用YYYY_MM_DD的格式作答。(2分)
2023_07_20
***74.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,潘志辉发送大量SMS信息的文件名是甚么?提示:需包括扩展名称如ABC_123.doc(2分)
在这里找到一共ink,发现指向桌面
桌面上一个,下载里面两个
***75.参考’潘志辉的计算机镜像’回答以下题目按照Peter计算机.e01的文件,Pushbullet与"发送大量SMS信息的文件"应用了哪一个技术交换信息,提示:请用小写英文全名并以下例子格式答题。例子:graphic_user_interface(2分)
76.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,哪一个设备曾经在Pushbullet内向GalaxyS7发送“生财工具”的信息?(1分)
A.手提电话Galaxy S7
B.计算机C59204
C.手提电话Galaxy S4
D.手提电话P30 Pro
B
77.参考’潘志辉的计算机镜像’回答以下题目按照Peter计算机.e01的文件,开启VMware内ubuntu的密码是多少?
提示1(Tips1):相关的Ubuntu文件在ProgramFiles(x86)\Vmware\VMPlayer;Ubuntu的路径为C:\ProgramFiles(x86)\Vmware\VmwarePlayer\UbuntuVM,
提示2(Tips2):请以小写英文与附号作答,
提示3(Tips):可考虑使用KaliLinux、网上平台与ubuntupassword.txt内所有的数据协助找出密码(2分)
(newpassword2)
再努力下,密码应该不是这个,看到有流文件,查看
由79题可知是hash值反查
78.参考’潘志辉的计算机镜像’,按照Peter计算机.e01的文件,潘志辉应用了哪一个技术把true-ubuntupassword.txt隐藏在ubuntupassword.txt中。(1分)
A.日志记录 (Log record)
B.数据压缩 (Data Compression)
C.数据加密 (Data Encryption)
D.备用数据流 (Alternate data stream)
D
79.参考’潘志辉的计算机镜像’,true-ubuntupassword.txt内有一组哈希值,该哈希值是下列哪一种?(2分)
A.MD5
B.SHA1
C.SHA256
D.SHA512
***80.参考’潘志辉的计算机镜像’回答以下题目,按照Peter计算机.e01的文件,在UbuntuVM在内执行TorBrowser时,在命令提示字符(CommandPrompt)执行netstat指令输出网络数据,以下为部份内容,哪一个数据可以推论潘志辉曾经使用TorBrowser。(2分)
D
找到嵌套证据,导出做自动分析和仿真
启动tor browser
ss -anpt
81. 参考’潘志辉的计算机镜像’回答以下题目,按照Peter计算机.e01的档案,潘志辉想把Tor Browser的entry 与 exit node 修改为澳洲进入,美国离开,但以下A-D 项的空白位置潘志辉不懂如何填上内容。EntryNodes {A} Strictnodes B ExitNodes {C} Strictnodes D 请把A-D的资料填上,提示: 请以以下格式作答,例子(example): A:us,B:1,C:uk,D:0
A.au
B.1
C.us
D.1
ABCD
EntryNodes后的A填入指定进入的节点地区名,澳洲为au
Strictnodes后的B设为1则代表强制使用指定的地区的节点
ExitNodes后的C填入指定离开的节点地区名,美国为us
82.参考’潘志辉的手机镜像HUAWEI P30 pro’,在潘志辉手机华为P30Pro的WhatsApp与华为NOVA5T的WhatsApp的对话中,曾被修改过的对话,请找出修改前的内容。提示:请用中文与小写字母作答(2分)
再 換 busd
关键词 換
查看HUAWEI P30 pro数据库,潘志輝 HUAWEI NOVA 5T\SMS 1\data\com.whatsapp\databases\msgstore.db
查看message表
查看 message_ftsv2_content表
查看华为NOVA5T数据库
message表
查看 message_ftsv2_content表
*83.参考’潘志辉的手机镜像HUAWEI NOVA 5T’,潘志辉的手机华为Nova5T中曾使用哪一个文件以一部激光雕刻机打印了一个QRcode,这个文件名称的扩展名是什么?(1分)
先尝试找到二维码图片
现在要去找打印的是哪一张
X:\潘志輝的手機\潘志輝 HUAWEI NOVA 5T\SMS 1\data\com.hingin.l1.hiprint\databases\hiPrint
PRINT_HISTORY_DATA表
PRINT_PARAMETERS表
和答案都不一致
根据表名猜测应该是要打印1697018528074.jpg这张图片,打印机扫描图片保存为1697018528072fileName.bmp
84.参考’陈好的手机镜像’,陈好手机的相片20230821_144459在安卓的其中一个数据库中,显示该相片可包含哪个主体?(多选)(1分)
A. 食物(Food)
B. 饮品(Drink)
C. 拉面(Ramen)
D. 桌子(Table)
AC
查看这个external.db数据库
food ramen
85.参考’陈大昆的手机镜像’回答以下题,陈大昆的手机被一个itunebackup密码加密保护,这个密码是什么?提示:请用阿拉伯数字作答(1分)
123456
passware爆破
86.参考’潘志辉的手机镜像HUAWEIP30pro’,潘志辉手机华为P30pro的WhatsApp社群”香港商品交易群组Hong Kong Trading”,是什么时候建立的(UTC+8)?(2分)
2023-02-22 14:16:50.000
导出msgstore为sql文件,搜索Hong Kong Trading
INSERT INTO chat (_id, jid_row_id, hidden, subject, created_timestamp, display_message_row_id, last_message_row_id, last_read_message_row_id, last_read_receipt_sent_message_row_id, last_important_message_row_id, archived, sort_timestamp, mod_tag, gen, spam_detection, unseen_earliest_message_received_time, unseen_message_count, unseen_missed_calls_count, unseen_row_count, plaintext_disabled, vcard_ui_dismissed, change_number_notified_message_row_id, show_group_description, ephemeral_expiration, last_read_ephemeral_message_row_id, ephemeral_setting_timestamp, ephemeral_displayed_exemptions, ephemeral_disappearing_messages_initiator, unseen_important_message_count, group_type, last_message_reaction_row_id, last_seen_message_reaction_row_id, unseen_message_reaction_count, growth_lock_level, growth_lock_expiration_ts, last_read_message_sort_id, display_message_sort_id, last_message_sort_id, last_read_receipt_sent_message_sort_id, has_new_community_admin_dialog_been_acknowledged, history_sync_progress, chat_lock) VALUES (7, 46, 0, ‘�����Ʒ����Ⱥ�M Hong Kong Trading’, 1677046610000, 1737, 1737, 339, 339, 1, 0, 1697452022000, NULL, NULL, 1, 1694706614785, 267, 0, 267, 1, 0, 1, 0, 0, NULL, 0, NULL, 0, 0, 0, 0, 0, 0, NULL, NULL, 339, 1737, 1737, 339, 0, 0, 0);
1677046610000是时间戳
87. 参考’潘志辉的手机镜像HUAWEI P30 pro’回答以下题目,潘志辉手机华为P30 Pro的 WhatsApp 的有多少个对话群组包含对话讯息记录(系统自行发出的不作计算)?
A. 1
B. 2
C. 3
D. 4
C
message_type为7的时候是系统消息要排除
select chat_row_id,count(text_data) from message where chat_row_id in (select _id from chat where subject is not null) and text_data is not null and message_type !=7 group by chat_row_id;
观察发现,sender_jid_row_id是发送者的身份,0是本人
select chat_row_id,count(text_data) from message where chat_row_id in (3,6,7,9,10,17,142,144,146) and text_data is not null and message_type !=7 group by chat_row_id having sender_jid_row_id = 0;
三条记录,选C
88.(多选题) 参考李哲图的计算机镜像回答以下题目,在李哲图传送给Ben的电邮中有2个附加文件,文件的名称是?
A. New Target.rar
B. Key.jpg
C. use_this.png
D. name.txt
AC
用xways查看roaming文件夹
附件有两个
89.参考陈大昆的计算机镜像,在陈大昆电脑中,他收到李哲图的电邮,当中有一个加密的压缩文件,该文件的开启密码是?提示:请用全大写字母作答(2分)
FOOTBALL
use_this.png 可以直接打开查看
Ben的电脑上下载压缩包
密码是FOOTBALL
90.参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件NewTarget.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知ChiTo曾处理图片以隐藏一段文字,那段文字是?提示:请用英文与标点符号作答(2分)
P@ssw0rd
比赛前让准备openstego,在这用上
91.参考李哲图的计算机镜像,李哲图曾执行一个程序在"key.bmp"的图片文件中隐藏一段文字,請問他是用哪一个程序?(1分)
A. Steganography Studio
B. OpenStego
C. Steghide
D. S-Tools
B
92.参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件NewTarget.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知图片的隐藏文字为加密的Word文件的Salt(为一个AES256加密)。在加密的Word文件中,李美玲的年龄为?(3分)
25
openssl enc -aes-256-cbc -d -a -in encrypted.docx -out decrypted.docx
解密文档
93.参考陈大昆的计算机镜像回答以下题目,在陈大昆的电脑中,加密的压缩文件NewTarget.rar中有2个文件,一个是加密的Word文件,另一个是图片文件。已知图片的隐藏文字为加密的Word文件的Salt(为一个AES256加密)。在加密的Word文件中,钟翠华的电邮为?(3分)
A.TWchun111@gmail.com
B. TWchun1110@gmail.com
C. TWchun111@yahoo.com
D. ChunTW111@yahoo.com
A
94.参考’benckwindow10.e01’,在Ben电脑中,他在Opensea.io中使用了哪些区块链制造NFT?(2分)
A. Ethereum
B. Polygon PoS Chain
C. Arbitrum
D. Base
95.参考’benckwindow10.e01’,在Ben电脑在Opensea.io中所创建的NFT(s)的CollectionID是?需以下例子的格式作答:CollectionID/NumberofNFT(s)sold,例:4561313456(2分)
96.参考’benckwindow10.e01’,这个Opensea.io中的CollectionID一共卖出了多少个NFT(s)?提示:请参阅附加资料(1分)
97.参考’benckwindow10.e01’,购买上述在Opensea.io中NFT(s)的加密货币地址是?提示:请参阅附加资料與请用大写字母作答,例子:0X1234567ABCDEF(1分)
98.参考’benckwindow10.e01’,哪些是购买上述CollectionID内的NFT(s)的交易哈希(TransactionHash)?提示:请参阅附加资料(2分)
99.参考’benckwindow10.e01’,在Opensea.io中铸造上述NFT(s)的加密货币地址是?提示:请参阅附加资料与请用大写字母作答,例子(example):0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123(1分)
100.参考’benckwindow10.e01’,在Opensea.io中,由上述加密货币地址所铸造没有CollectionID的NFT找到什么资讯?提示:请参阅附加资料(1分)
101.参考’benckwindow10.e01’,合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575所使用的是哪一个区块链?提示:请参阅附加资料(1分)
102.参考’benckwindow10.e01’,合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的加密货币名称(Name)及简写(Symbol)是?提示:请参阅附加资料(1分)
103.参考’benckwindow10.e01’,加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575在区块链的创建日期时间是?提示:请参阅附加资料(1分)
104.参考’benckwindow10.e01’,加密货币合约址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的总铸造数量是?提示:请参阅附加资料(1分)
105.参考’benckwindow10.e01’回答以下题目,第一个储存加密货币合约(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的地址是?提示:请参阅附加资料與请用大写字母作答,例子(example):0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123(1分)
106.参考’benckwindow10.e01’回答以下题目,铸造加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的交易哈希(TransactionHash)是?提示:请参阅附加资料與请用大写字母作答,例子(example):0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123(1分)
107.参考’benckwindow10.e01’回答以下题目,承上題,请根据铸造加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的交易哈希(TransactionHash),在Ben电脑中,找出比在以太坊(Ethereum)上确认验证的日期时间早的文件名?提示:请参阅附加资料与请用大写字母作答(3分)
108.参考’benckwindow10.e01’,承上題,按照在以太坊(Ethereum)上确认验证的日期时间的文件的创建日期时间、路径及数据,下列哪些推论是正确的?(2分)
109.参考’benckwindow10.e01’回答以下题目,以下哪个去中心化交易中心(Dex)能够成功兑换加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575?提示:请参阅附加资料(1分)
110.参考’benckwindow10.e01’,截至2023-09-07 1511时,加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575对美元(USD)的市场价格是?提示:请参阅附加资料(1分)
111.参考’benckwindow10.e01’回答以下题目,截至2023-09-20,持有50,000,000个加密货币合约地址(ContractAddress):0xa071e23fdbdfc23011a28977e102038747373575的加密货币地址是?提示:请参阅附加资料與请用大写字母作答(1分)
112.参考’benckwindow10.e01’,按照时间线分析Ben电脑活动,在2023-09-06 16:58:10时及2023-09-06 16:58:21时,在”Access-Control-Allow-Origin”中显示了哪一个网站?(2分)
113.参考’benckwindow10.e01’,承上題,在2023-09-0616:58:10时及2023-09-0616:58:21时,在”Access-Control-Allow-Origin”中显示的网站有什么功能?(1分)
114.参考’benckwindow10.e01’,哪一个扩展名与创建加密货币有关?(1分)
115.参考’benckwindow10.e01’回答以下题目,陈大昆被捕后拒绝提供虚疑货币钱包密码及恢复种子,并以挑战口吻响应:「重要信息已经放好在桌面上,难道你没看见吗?」。在Ben电脑内与恢复种子有关的两个文件的扩展名是?(3分)
116.参考’benckwindow10.e01’,承上題,在陈大昆电脑内恢复种子的第八个英文单字是?提示:请用大写字母作答(3分)
117.参考’benckwindow10.e01’回答以下题目,按照上述恢复种子,请计算出在以太坊(Ethereum)其BIP-44 derivation address=m/44’/60’/0’/0/0的公钥?提示:请用大写字母作答n例子:0X1234567890ABCDEFGHIJKLMNOPQRSTUVWXYZ0123(3分)
118.参考’benckwindow10.e01’,按照上述恢复种子,请计算出在波场网络(Tron Network)其BIP-44 derivation address=m/44’/195’/0’/0/2的私钥?提示:请用大写字母与阿拉伯数字作答(3分)
119.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,案中所使用的NAS是哪个品牌?提示:请用小写字母作答(2分)
synology
挂载NAS镜像
查看hostname文件
120.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,NAS所使用的是哪个容错式磁盘阵列的层级(RAIDLEVEL)?提示:请用阿拉伯数字作答(1分)
5
121.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,NAS所使用的容错式磁盘阵列是那种数据分布方式(Layout)?提示:请用小写字母作答,如:abc-def(2分)
left-symmetric
使用ufs自动识别
122.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,试列出NAS容错式磁盘阵列里面的所有逻辑巻名称(LogicalVolumeName)提示:请用小写英文以及在空格或标点符号位置用以_作答例子(example):abcd_efgh_123(3分)
syno_vg_reserved_area_volume_1
两个逻辑卷合在一起
123.参考’NAS-DISK1.e01,NAS-DISK2.e01,NAS-DISK3.e01’,NAS安装了哪个版本的MariaDB?提示:请以以下格式作答,例子(example):21.22.23(3分)
10.3.32
124.参考’DiskImage.e01’,试列出数据库内所有表(Table)的名称?因为涉及多在1个项目,请把英文前缀较前的项目放先,并依以下例子的格式作答正确例子:brand&serialnumber错误例子:serialnumber&brand(3分)
creditcard&users
查看这个sql文件
发现这是一个sql文件
creditcard&users
125.参考’DiskImage.e01’,数据库是那一天被保存?提示:请用YYYY_MM_DD的格式作答,例子(example):1986_01_23(1分)
2023_09_20
2023_09_20
126.参考’陈大昆的MacBook映象档"中的"0c1c.7z"档案回答以下题目:你可以找出生成"0c1c.bin"这个二进制文件所使用的编译器吗?(编译器名称包括所有英文字母、数字,符号,区分大小阶,不需要空格)(2分)
*127.参考’陈大昆的MacBook映象档"中的"0c1c.7z"文件回答以下题目:这个恶意软件具有多少个初始化函数入口点?(请以阿拉伯数字回答,例如:100)(2分)
128.参考’陈大昆的MacBook映象档"中的"0c1c.7z"档案回答以下题目:这个二进制文件"0c1c.bin"的入口点是什么?(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)(2分)
129.参考‘陈大昆的MacBook映象档"中的"0c1c.7z"文件回答以下题目:恶意软件应该包含一个名为‘.rodata’的部分,请提供这个’.rodata’部分的文件大小(单位为byte),以十进制方式回答您的问题。(请以阿拉伯数字回答,例如:100)(2分)
130.参考’陈大昆的MacBook映象档"中的"0c1c.7z"档案回答以下题目:这个恶意软件包含两个与两种知名加密货币名称相关的字符串。它们是什么?(如有英文字母需大阶,并以前缀英文字母由小至大次序回答)请按照以下格式回答:例子:如两种知名加密货币名称分分别是Cat及Apple请填写:APPLE+CAT(2分)
131.参考’陈大昆的MacBook映象档"中的"0c1c.7z"文件回答以下题目:以下指令似乎用在加载与CPU绑定相关的指令操作数的内存地址,哪个函数包含了这些指令,请回答该函数的位移值。(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)(3分)
132.参考’陈大昆的MacBook映象档"中的"0c1c.7z"文件回答以下题目:以下指令可能用在与加密货币挖矿服务器进行交互。哪个函数包含了这些指令?(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)(3分)
133.参考’陈大昆的MacBook映象档"中的"0c1c.7z"文件回答以下题目:这个二进制文件中,有一个加密货币相关联的应用程序,请提供应用程序名称、版本和相关加密货币名称。(如有英文字母需大阶,应用程序版本请以阿拉伯数字及符号作答)(3分)
134.参考’陈大昆的MacBook映象档"中的"35ea.7z"文件回答以下题目:你可以找出生成"35ea.bin"这个二进制文件所使用的编译器吗?(编译器名称包括所有英文字母、数字,符号,区分大小阶,不需要空格)(3分)
135.参考’陈大昆的MacBook映象档"中的"35ea.7z"文件回答以下题目:这个二进制文件的入口点是什么?(注意:不同检验工具可能会以不同位移值开始,如:0x00000000或0x00100000,但所有回答请以0x00000000开始)(请以16进制回答,"0x"后的英文字母需大阶,例如:0x0123ABEF)(3分)
136.参考’陈大昆的MacBook映象档"中的"35ea.7z"文件回答以下题目:这个二进制文件中包含一个名为‘killVM’的函数。请提供这个函数的大小(单位为byte)并以十进制方式回答。(请以阿拉伯数字回答,例如:100)(3分)
137.参考’陈大昆的MacBook映象档"中的"35ea.7z"文件回答以下题目:这个二进制文件应该包含一个名为‘EncrytFile’的函数。请提供这个函数的大小以十进制方式回答您的问题。提示:请用阿拉伯数字作答(3分)
138.參考’陳大昆的MacBook映象檔"中的"35ea.7z"檔案回答以下題目:这个二进制文件中有多少个函数的名称包含‘ENCRYPT’字串?提示:请用阿拉伯数字作答(3分)
139.参考’陈大昆的MacBook映象档"中的"35ea.7z"文件回答以下题目:这个二进制文件与哪种勒索软件相关联?请提供其名称。提示:请用大写字母回答(3分)
请提供这个’.rodata’部分的文件大小(单位为byte),以十进制方式回答您的问题。(请以阿拉伯数字回答,例如:100)(2分)
4010
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
