受害人计算机
选择
1(受害人计算机)根据镜像分区,确定原笔记本内有多少个文件系统分区?
3
2(受害人计算机)你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector)
1048576
3(受害人计算机)操作系统所在分区的文件系统是哪种
NTFS
4(受害人计算机)操作系统分区,每个簇(Cluster)包含几个扇区(sectors)?
5 (受害人计算机)该请问操作系统的安装日期是?
6(受害人计算机)用户“dalei"的唯一标识符(RID)是什么?
7(受害人计算机)Administrator总共登录系统多少次?
33
8(受害人计算机) 以下哪个帐号曾经远端登录系统?
没有
没有发现异常远程登陆
9(受害人计算机)操作系统的版本?
10(受害人计算机)根据填空第7小题,上述地图原来的储存路径是?
E:\CC8A6AE1-5193-4fce-A986-1B9CD68E20E8.png
11(受害人计算机)受害人使用以下哪个电子邮件发送/接收的程序?
Mail Master
12(受害人计算机)接上题,受害人什么时候收到诈骗电邮?(作答后先跳转填空第8题)
2023-4-1 18:49 UTC+8
13(受害人计算机),接填空第8题,上述的病毒文件最后一次什么时间被系统执行? (答案格式 -“本地时间":YYYY-MM-DDHH:MM +8)
2023-04-11 20:05:48
14(受害人计算机),接上题,这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行?
不会
没发现相关文件
15(受害人计算机),接上题,病毒文件被执行后有以下哪个文件被生成?
没有文件生成
16(受害人计算机),法证人员于之后对系统作以下哪项取证?
制作内存镜像档
根据下一题的工具,是一个制作内存镜像的工具
17(受害人计算机),法证人员到场后,以下哪个软件曾经在系统里运行过?
直接搜选项
Magnet RAM capture.exe
18(受害人计算机),接上题,所抓取的资料被储存为以下哪个文件?
根据选项搜,发现只有ram1.dmp
ram1.dmp
19(受害人计算机),接上题,上述档案储存到以下哪个分区?
感觉应该是G盘,但答案是E盘
填空
1(受害人计算机)笔记本电脑己成功取证并制作成镜像,其MD5哈希值是?
8D243E3FE45FB60C13206C9A32E1DC80
2(受害人计算机)该操作系统中,最后的关机时间? (答案格式东八区时间:YYYY-MM-DD HH:MM)
2023-04-11 19:37
3(受害人计算机)该操作系统中,计算机的主机名是?
WIN7-2023JJURTZ
4(受害人计算机)检材内有一bitlocker磁盘,该磁盘的密码为:
Zodiac4O4
找了半天没发现,在受害人计算机里面发现了一张图片
导出来用010查看发现了密钥
还可以用取证大师直接搜key,用原始数据搜索(搜BitLocker搜不到)
正常是搜BitLocker的,但是这道题的密码存在图片的十六进制里面,比较恶心
5(受害人计算机)接上题,开启上述磁盘内有一压缩包,压缩包内有一flag值,请问是?
flag{2ac5cf8bd87d0717c1cfb8b7c2906e2c}
里面有一个压缩包,导出来发现有密码,想到了在回收站李看到了一个图片,上面有密码
6(受害人计算机)administrator用户桌面文件中,flag的字体为
没有意义的一道题
Times New Roman;times new roman
没找到flag在哪
7(受害人计算机)回收站里面有一张图片,这张地图原来的文件名是什么?(答案格式:文件名.扩展名)
CC8A6AE1-5193-4fce-A986-1B9CD68E20E8.png
8(受害人计算机),接单选22题,邮件的附件诱导下载一个病毒文件,这个文件的MD5哈希值是?
这是那个病毒文件
964018A696E0DC9AAC49F3ACB49D504F
受害人手机
选择
在手机镜像文件中, 请问该用户数据分区(userdatapartition)的文件系统类型是什么?
EXT4
(受害人手机)如果手机安装了应用程序, 你会在哪个位置找寻该应用程序的“apk"文件?
/root/app/
(受害人手机)在手机镜像文件中, 哪一个文件包含日历记录?
calendar.db
直接搜
(受害人手机)在手机镜像文件中, 哪个文件用于存储“微信”记录?
EnMicroMsg.db
这个问法,我们可以直接去微信然后跳转源文件
填空
(受害人手机)请通过分析给出连接过普联设备 WiFi的密码
TP就是惠普的工具
mhq594305
(受害人手机)Android 系统解锁密码是?
10086
没发现怎么搞出来的,没爆破出来
(受害人手机)接单选33题, 检查“微信"数据库,请问“BugMaker”和“写Bug小能手”共有多少条通讯记录?
24
(受害人手机)接上题,微信聊天记录中“BugMaker”的银行账号为
发现了这两串东西,应该是加密内容,第一个先base64,在escape解密
看到了%u就要考虑到escape加密
解密后是这里是要加密的内容,那说明下面那个应该就是账号
622901985
受害人APK
浏览了半天发现应该是这个,里面有可以单词forensics导出
一看就是危险软件
(受害人手机)手机中有一APK具有文件加解密功能,请找出该APK,其签名有效期终止年份为
2053-02-15 21:36:00
(受害人手机)接上题,该APK的包名是什么?
com.zjpc.forensics
(受害人手机)接上题,APK的SHA256值是什么?(32位小写)
534129449cf8e96e07e95da98585e53efdaa9fd91f6e77fbf962d300fa0587cd
(受害人手机)接上题,APK有几个用户界面?(格式:3)
2
(受害人手机)接上题,APK的入口函数是?
com.zjpc.forensics.MainActivity
(受害人手机)接上题,APK中对用户输入的密码执行了什么操作?
base64
(受害人手机)接上题,APK查看加密文件的密码是什么?
th1s_1s_p@5sw0rd
脚本解密,没破解出来
(受害人手机)接上题,APK内被加密文件的文件名是什么?
eee.dat
查看确实是乱码
下面这些是加密过程的代码
(受害人手机)接上题,APK加解密文件使用的是什么算法?
异或算法
(受害人手机)接上题,请提交解密后界面的flag。(格式:flag{32位小写md5值})
flag{15b796b1769e5085ea8c0f13620e28ed}
嫌疑人计算机
选择
(嫌疑人计算机)该操作系统的内核版本是?(作答后可先跳转填空23题)
6.1.0
填空
(嫌疑人计算机)嫌疑人桌面上有个”huashu”文件,记载了其准备的邮件钓鱼话术。该文件曾用名是什么?
仿真虚拟机以后,查看用户文件,发现了这个
打开shegong,发现里面的内容和之前的一样,所以就是这个啦
shegong
(嫌疑人计算机)嫌疑人桌面上的木马文件sha256哈希值是?
6d33ea7b8b89844e9086b097fbfa90563c66868c4f3491e827b0ad5133162a63
(嫌疑人计算机)嫌疑人是用何种工具连接木马的?(例:CobaltStrike,首字母大写)
viper
仿真看里面有viper文件夹
然后通过火眼也可以看到dockers容器使用的viper
(嫌疑人计算机)嫌疑人曾尝试在本机搭建过该工具,其设置的登陆密码是?
12345678
(嫌疑人计算机)嫌疑人之后在服务器上搭建该工具并反弹shell。服务器IP地址是?
我们在现在的root用户里看历史命令发现没有东西,这显然是不行的
所以我们要重新仿真这个kali,kali里面缺少快照,把kali十周年vmsd给删了就行
根据前面的内容我们知道了里面有个用户叫mid2dog,我们现在修改这个用户的密码,进入这个用户的系统
参考这篇文章绕过密码
【破解kali 系统登录密码,有手就会】_kali系统怎么取消登录密码_偶然的一天的博客-CSDN博客
修改完之后我们就进入了这个人的桌面
可以发现我们直接就发现了huashu,而不是之前没改名之前的了
看到了搭建shell反弹
8.214.98.131
(嫌疑人计算机)上述平台的端口号是?
9013
(嫌疑人计算机)嫌疑人曾将开机密码藏在操作系统某文件中以防忘记,请找出嫌疑人所使用账户的密码。
翻了一下这个人的文件,发现了两个可以的东西,一个照片一个视频
这个视频的十六进制里面说明了这个用户的账号密码
mid2dog
(嫌疑人计算机)嫌疑人曾编写过全盘加密的勒索脚本,请写出加密方式。(如:RSA)
发现了这个lesuo.exe文件,看一下
要把这个东西给导出来
看了一下它使用了打包工具pyinstaller,要反编译
查看导出文件夹
上图里的这些部分都应该是pyc文件,但是导出来的时候没有pyc后缀
要自己加上,
然后一般这个import os就是反编译的文件,修改后缀以后用反编译网站反编译不出东西来
反编译网站:pyc反编译 - 爱资料工具 (toolnb.com)
联想到之前做长安杯的时候,这个文件的文件头可能不完整,我们看了一下发现是这个
果然不完整,缺少文件头
然后我们给他加上文件头
保存,然后用反编译网站反编译,果然出来了
复制出来
# uncompyle6 version 3.5.0
# Python bytecode 3.6 (3379)
# Decompiled from: Python 2.7.5 (default, Jun 20 2023, 11:36:40)
# [GCC 4.8.5 20150623 (Red Hat 4.8.5-44)]
# Embedded file name: import os.py
# Compiled at: 1995-09-28 00:18:56
# Size of source mod 2**32: 272 bytes
import os, base64
from Crypto.Cipher import AES
key = 'mid2dog'
def encrypt--- This code section failed: ---
11 0 LOAD_GLOBAL open
2 LOAD_FAST 'filename'
4 LOAD_STR 'rb'
6 CALL_FUNCTION_2 2 ''
8 SETUP_WITH 24 'to 24'
10 STORE_FAST 'file'
12 12 LOAD_FAST 'file'
14 <160> 1 ''
16 <161> 0 ''
18 STORE_FAST 'file_data'
20 POP_BLOCK
22 LOAD_CONST None
24_0 COME_FROM_WITH 8 '8'
24 WITH_CLEANUP_START
26 WITH_CLEANUP_FINISH
28 END_FINALLY
14 30 LOAD_FAST 'file_data'
32 LOAD_STR '\x00'
34 LOAD_GLOBAL AES
36 LOAD_ATTR block_size
38 LOAD_GLOBAL len
40 LOAD_FAST 'file_data'
42 CALL_FUNCTION_1 1 ''
44 LOAD_GLOBAL AES
46 LOAD_ATTR block_size
48 BINARY_MODULO
50 BINARY_SUBTRACT
52 BINARY_MULTIPLY
54 BINARY_ADD
56 STORE_FAST 'padded_data'
16 58 LOAD_GLOBAL AES
60 <160> 5 ''
62 LOAD_FAST 'key'
64 LOAD_GLOBAL AES
66 LOAD_ATTR MODE_ECB
68 <161> 2 ''
70 STORE_FAST 'cipher'
17 72 LOAD_FAST 'cipher'
74 <160> 7 ''
76 LOAD_FAST 'padded_data'
78 <161> 1 ''
80 STORE_FAST 'encrypted_data'
19 82 LOAD_GLOBAL open
84 LOAD_FAST 'filename'
86 LOAD_STR 'wb'
88 CALL_FUNCTION_2 2 ''
90 SETUP_WITH 114 'to 114'
92 STORE_FAST 'file'
20 94 LOAD_FAST 'file'
96 <160> 8 ''
98 LOAD_GLOBAL base64
100 <160> 10 ''
102 LOAD_FAST 'encrypted_data'
104 <161> 1 ''
106 <161> 1 ''
108 POP_TOP
110 POP_BLOCK
112 LOAD_CONST None
114_0 COME_FROM_WITH 90 '90'
114 WITH_CLEANUP_START
116 WITH_CLEANUP_FINISH
118 END_FINALLY
Parse error at or near `<160>' instruction at offset 14
def decrypt--- This code section failed: ---
25 0 LOAD_GLOBAL open
2 LOAD_FAST 'filename'
4 LOAD_STR 'rb'
6 CALL_FUNCTION_2 2 ''
8 SETUP_WITH 30 'to 30'
10 STORE_FAST 'file'
26 12 LOAD_GLOBAL base64
14 <160> 2 ''
16 LOAD_FAST 'file'
18 <160> 3 ''
20 <161> 0 ''
22 <161> 1 ''
24 STORE_FAST 'encrypted_data'
26 POP_BLOCK
28 LOAD_CONST None
30_0 COME_FROM_WITH 8 '8'
30 WITH_CLEANUP_START
32 WITH_CLEANUP_FINISH
34 END_FINALLY
28 36 LOAD_GLOBAL AES
38 <160> 5 ''
40 LOAD_FAST 'key'
42 LOAD_GLOBAL AES
44 LOAD_ATTR MODE_ECB
46 <161> 2 ''
48 STORE_FAST 'cipher'
29 50 LOAD_FAST 'cipher'
52 <160> 7 ''
54 LOAD_FAST 'encrypted_data'
56 <161> 1 ''
58 STORE_FAST 'decrypted_data'
31 60 LOAD_FAST 'decrypted_data'
62 <160> 8 ''
64 LOAD_STR '\x00'
66 <161> 1 ''
68 STORE_FAST 'unpadded_data'
33 70 LOAD_GLOBAL open
72 LOAD_FAST 'filename'
74 LOAD_STR 'wb'
76 CALL_FUNCTION_2 2 ''
78 SETUP_WITH 96 'to 96'
80 STORE_FAST 'file'
34 82 LOAD_FAST 'file'
84 <160> 9 ''
86 LOAD_FAST 'unpadded_data'
88 <161> 1 ''
90 POP_TOP
92 POP_BLOCK
94 LOAD_CONST None
96_0 COME_FROM_WITH 78 '78'
96 WITH_CLEANUP_START
98 WITH_CLEANUP_FINISH
100 END_FINALLY
Parse error at or near `<160>' instruction at offset 14
def encrypt_directory--- This code section failed: ---
38 0 SETUP_LOOP 104 'to 104'
2 LOAD_GLOBAL os
4 <160> 1 ''
6 LOAD_FAST 'directory_path'
8 <161> 1 ''
10 GET_ITER
12 FOR_ITER 102 'to 102'
14 UNPACK_SEQUENCE_3 3
16 STORE_FAST 'root'
18 STORE_FAST 'dirs'
20 STORE_FAST 'files'
39 22 SETUP_LOOP 100 'to 100'
24 LOAD_FAST 'files'
26 GET_ITER
28 FOR_ITER 98 'to 98'
30 STORE_FAST 'file'
40 32 LOAD_FAST 'file'
34 <160> 2 ''
36 LOAD_STR '.docx'
38 <161> 1 ''
40 POP_JUMP_IF_TRUE 72 'to 72'
42 LOAD_FAST 'file'
44 <160> 2 ''
46 LOAD_STR '.pdf'
48 <161> 1 ''
50 POP_JUMP_IF_TRUE 72 'to 72'
52 LOAD_FAST 'file'
54 <160> 2 ''
56 LOAD_STR '.xlsx'
58 <161> 1 ''
60 POP_JUMP_IF_TRUE 72 'to 72'
62 LOAD_FAST 'file'
64 <160> 2 ''
66 LOAD_STR '.pptx'
68 <161> 1 ''
70_0 COME_FROM 60 '60'
70_1 COME_FROM 50 '50'
70_2 COME_FROM 40 '40'
70 POP_JUMP_IF_FALSE 28 'to 28'
41 72 LOAD_GLOBAL os
74 LOAD_ATTR path
76 <160> 4 ''
78 LOAD_FAST 'root'
80 LOAD_FAST 'file'
82 <161> 2 ''
84 STORE_FAST 'file_path'
42 86 LOAD_GLOBAL encrypt
88 LOAD_FAST 'file_path'
90 LOAD_FAST 'key'
92 CALL_FUNCTION_2 2 ''
94 POP_TOP
96 JUMP_BACK 28 'to 28'
98 POP_BLOCK
100_0 COME_FROM_LOOP 22 '22'
100 JUMP_BACK 12 'to 12'
102 POP_BLOCK
104_0 COME_FROM_LOOP 0 '0'
Parse error at or near `None' instruction at offset -1
def decrypt_directory--- This code section failed: ---
46 0 SETUP_LOOP 104 'to 104'
2 LOAD_GLOBAL os
4 <160> 1 ''
6 LOAD_FAST 'directory_path'
8 <161> 1 ''
10 GET_ITER
12 FOR_ITER 102 'to 102'
14 UNPACK_SEQUENCE_3 3
16 STORE_FAST 'root'
18 STORE_FAST 'dirs'
20 STORE_FAST 'files'
47 22 SETUP_LOOP 100 'to 100'
24 LOAD_FAST 'files'
26 GET_ITER
28 FOR_ITER 98 'to 98'
30 STORE_FAST 'file'
48 32 LOAD_FAST 'file'
34 <160> 2 ''
36 LOAD_STR '.docx'
38 <161> 1 ''
40 POP_JUMP_IF_TRUE 72 'to 72'
42 LOAD_FAST 'file'
44 <160> 2 ''
46 LOAD_STR '.pdf'
48 <161> 1 ''
50 POP_JUMP_IF_TRUE 72 'to 72'
52 LOAD_FAST 'file'
54 <160> 2 ''
56 LOAD_STR '.xlsx'
58 <161> 1 ''
60 POP_JUMP_IF_TRUE 72 'to 72'
62 LOAD_FAST 'file'
64 <160> 2 ''
66 LOAD_STR '.pptx'
68 <161> 1 ''
70_0 COME_FROM 60 '60'
70_1 COME_FROM 50 '50'
70_2 COME_FROM 40 '40'
70 POP_JUMP_IF_FALSE 28 'to 28'
49 72 LOAD_GLOBAL os
74 LOAD_ATTR path
76 <160> 4 ''
78 LOAD_FAST 'root'
80 LOAD_FAST 'file'
82 <161> 2 ''
84 STORE_FAST 'file_path'
50 86 LOAD_GLOBAL decrypt
88 LOAD_FAST 'file_path'
90 LOAD_FAST 'key'
92 CALL_FUNCTION_2 2 ''
94 POP_TOP
96 JUMP_BACK 28 'to 28'
98 POP_BLOCK
100_0 COME_FROM_LOOP 22 '22'
100 JUMP_BACK 12 'to 12'
102 POP_BLOCK
104_0 COME_FROM_LOOP 0 '0'
Parse error at or near `None' instruction at offset -1
encrypt_directory('.', key)发现是AES加密
(嫌疑人计算机)请找出全盘加密的加密密钥。
接上题密码是:mid2dog
(嫌疑人计算机)请找出日记中的flag线索。(格式:flag{32位md5})
在下载里面有个backup打开发现了日记,里面有flag
flag{5f2d58c9cc3a0c8b994e288ca6542ad2}
流量分析
刚才的backup里面有两个文件,有一个流量包,导出来分析
(嫌疑人计算机)攻击流量的文件名称是?
hacker.pcapng
(嫌疑人计算机)请提交攻击流量的sha256哈希值。(字母大写,请根据流量内容作答)
85d8517528e99aab2caf9ffa1bae6f4d1fbb0de45711ef0e6f419c8109c14ab5
(嫌疑人计算机)恶意payload的文件名是?
查看http流量,发现这个文件
RDSv38.dll和client.dll都比较可以,把他们俩导出来,发现直接就被火绒给认为是木马文件删了,不确定,但是看了下一问确定应该是RDSv38.dll
(嫌疑人计算机)恶意Payload的完整下载地址是?(答案示例:http://xxx.xxx.xxx/xxx)
组合一下,这类题做misc的时候遇过
http://imgcache.cloudservicesdevc.tk/picturess/2023/RDSv38.dll
试着打开了一下这个网站,直接红色警告
(嫌疑人计算机)请提交Payload的SHA256哈希值。(字母大写,请根据流量内容作答)
(嫌疑人计算机)请提交该恶意Payload编译的时间。(答案示例:2023-01-01 11:01:01)
2023:03:02 14:20:03
(嫌疑人计算机)请提交Payload在killk4.exe后,执行的命令。(需要包含执行命令的参数,如:echo exe hacker)
用ida直接搜k4.exe
cmd.exe /c taskkill /f /t /im k4.exe
(嫌疑人计算机)请提交Payload中需要Base64解码的cmd命令的个数。(答案示例:1)
顺着刚才的东西往下看发现了这三个东西,应该是base64加密的 ,我看到双=号了,猜测为三个
小米日志
看历史记录发现了查看小米日志的内容,去找这个日志
(嫌疑人计算机)嫌疑人M曾尝试近源攻击并成功连接受害人的小米手环,请找出攻击日志(样例格式:log)。
20230314_101903.log
(嫌疑人计算机)分析日志,受害人的小米手环型号是什么?(样例格式:Mi Smart Band 3)
直接搜就能看到
Mi Smart Band 5
(嫌疑人计算机)分析日志,受害人的小米手环MAC地址是什么?(样例格式:00:00:00:00:00:00)
14:07:10:02:06:0a
(嫌疑人计算机)分析日志,嫌疑人连接时所使用的设备型号是什么?(样例格式:GALAXY S7 Plus)
HUAWEI P10 Plus
(嫌疑人计算机)分析日志,嫌疑人首次与小米手环建立连接的时间是?(样例格式:2023-03-1400:00:00,以Source中首次出现设备型号为准)
2023/3/14 10:19:05
嫌疑人服务器
这个镜像使用Vera crypt加密,我们挂载到上面
(嫌疑人服务器)接填空73题,进行综合分析,该诈骗网站的类型是?
(嫌疑人服务器)请寻找并提交加密镜像密钥的存放路径(请填写绝对路径,提示:/xxx/xxx.jpg)
/home/mid2dog/图片/key.jpg
(嫌疑人服务器)请寻找并提交该加密镜像的解密密钥。(格式 6位字符小写)
zodiac
(嫌疑人服务器)请解密容器并提交服务器内存的sha256哈希值。(大写)
417BE7948CE1E316EE608322DB65D68A18D666869DCAF8EA88B55121A1499E19
(嫌疑人服务器)请分析系统中进程的运行情况,给出正在运行的进程数量。
106
(嫌疑人服务器)请找出监听TCP端口为8080的进程,给出进程名和程序路径。
java.exe
(嫌疑人服务器)请给出UDP端口28784的开启时间。
2023/3/6 14:36:08
(嫌疑人服务器)就进程forkd.exe(4812)而言,该程序的父进程(ParentPID)的进程号为 ?
7008
(嫌疑人服务器)请提交该服务器的操作系统(格式:Windows Server 2008R2)
windows server 2012
(嫌疑人服务器)请提交服务器内存的打包时间。(UTC+8格式:2023-01-01 10:01:01)
2023-04-04 02:06:41
(嫌疑人服务器)请提交服务器的设备标识符(格式:WIN-2|654IV321Q)
WIN-2I654IV049Q
(嫌疑人服务器)请提交服务器内存中Administrator用户的SID号。
S-1-5-21-2642712600-3554891528-4081643080-500
(嫌疑人服务器)该服务器网站使用何种数据库存储?(格式:Mongodb,首字母大写)
Mysql
看到了mysql的进程
(嫌疑人服务器)请提交上述数据库进程启动时间。(UTC+0格式:2023-01-01 10:01:01)
2023/3/6 14:37:15
(嫌疑人服务器)嫌疑人曾使用某种工具连接数据库,请提交该工具进程号(PID)。(格式:4514)
navicat
3956
(嫌疑人服务器)服务器桌面存放的数据库文件名称是?(格式:sql)
直接搜.sql发现了该文件,而且路径是在桌面
(嫌疑人服务器)该数据库文件的创建时间是?(UTC+0 格式:2023-01-01 10:01:01)
2023/3/6 14:38:49
(嫌疑人服务器)该数据库文件的MFT记录编号是?(格式:11451)
92469
没找到,应该是要导出分析
(嫌疑人服务器)嫌疑人平时用远程桌面连接,请提交嫌疑人远程桌面连接的IP地址(例:1.1.1.1)。
54.199.143.12
(嫌疑人服务器)该IP地址归属于哪个国家?(例:韩国)
日本
(嫌疑人服务器)该服务器上搭建的诈骗网站是java架构,其使用的java版本号是?(格式:1.7.0_291)
1.8.0_311
(嫌疑人服务器)该java架构网站的配置文件名称是?
application-produce.yml
看文件中的东西,找了下只有这个比较接近
(嫌疑人服务器)该java架构网站的主域名是?(例:www.baidu.com)
(嫌疑人服务器)请找出服务器内存中隐藏用户的名称。(例:User$)
Admin$
(嫌疑人服务器)打包镜像时该隐藏用户正被某远程桌面软件连接,请提交该软件的名称。(格式:a.exe)
AnyDesk.exe
(嫌疑人服务器)请提交上述远程桌面进程所使用的端口号。(格式:8888)
发现两个端口一个是7070,一个是55165,查了一下默认使用端口是7070
(嫌疑人服务器)在远程桌面连接前运行着某内网穿透软件,请提交该软件的名称(格式:a.exe)。
frpc就是内网穿透软件,做题遇到过
(嫌疑人服务器)上述内网穿透软件的配置文件名称是什么?(格式:my.ini)。
直接搜frpc,就可以看到配置文件
(嫌疑人服务器)进行综合分析,并提交服务器所属的厂商。(格式:腾讯云)
进程第一个看一下
属于亚马逊代理
亚马逊
vpn服务器
选择
(VPN服务器)接填空77题,检材内VPN软件数据自动清除的间隔为
60分钟
填空
(VPN服务器)的SHA1值
EDE07814E6841B903BBA26FF6B5B0204ADF14395
(VPN服务器)检材的内网IP是多少(例:10.0.0.1):
10.10.0.249
(VPN服务器)检材共配置了几张eth网卡(例:1)
9
(VPN服务器)检材内安装的VPN工具,其压缩包名称为:(例:v2rayN.tar)
看了一下就这一个压缩包
tar -xzf的意思
PanabitOEM_NANBEIr3_20200311_Linux.tar.gz
(VPN服务器)接上题,检材内VPN界面已安装的应用数量为
4
没找到在哪里
(VPN服务器)综合分析,能否推断上家IP(若能请填写IP,若不能请填写否)
否,没有发现ip
2878
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
