这篇复盘是这次暑假对上次取证的一次复盘,复盘中参考了部分大佬的博客。后面软路由和服务器暂时还没有整完,还会继续更新。
Android分析
1.涉案应用刷刷樂的签名序列号是(答案格式:123ca12a)
11fcf899
通过雷电一跑就出来了
2.涉案应用刷刷樂是否包含读取短信权限(答案格式:是/否)
否
没有发现 该权限
3.涉案应用刷刷樂打包封装的调证ID值是(答案格式:123ca12a)
a6021386163125(注意小写字母)
4.涉案应用刷刷樂服务器地址域名是(答案格式:axa.baidun.com)
vip.shuadan.com
用雷电代理抓包抓一下就可以发现服务器地址
5.涉案应用刷刷樂是否存在录音行为(答案格式:是/否)
是
在雷电里面我们看不到他是不是录音,进行动态监控录音显示的是没有,但用星源可以看到是存在录音行为的
6.涉案应用未来资产的包名是(答案格式:axa.baidun.com)
plus.h5ce4b30d
7.涉案应用未来资产的语音识别服务的调证key值是(答案格式:1ca2jc)
53feacdd
8.涉案应用未来资产的服务器地址域名是(答案格式:axa.baidun.com)
vip.usdtre.club
9.涉案应用未来资产的打包封装的调证ID值是是(答案格式:axa.baidun.com)
H5CE4B30D
移动智能终端取证
由于盘古石的那些软件授权到期了,所以只能手搓,有些真的太难找了,实在找不到的和简单的就用之前做的截图了
容恨寒安卓手机
1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)
2.根据容恨寒的安卓手机分析,SIM卡的ICCID是(答案格式:80891103212348510720)
89014103211118510720
3.根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是(答案格式:微信)
Potato
4.根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式:好的)
后面再给你们搞
找到Potato的数据库,然后导出到navicat
挨个看一下,发现在J里面是包含对话信息的,然后按时间降序排序找到容恨寒最后收到的消息,用base64解密
好用的工具,嘿嘿
5.根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是dc52d8225fd328c592841cb1c3cd1761
根据上文,接受rar应该也在potato软件里,然后我们去storage里面去找,发现该rar,然后计算md5
6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是
wlzhg@3903@xn
利用脚本将potato里面的对话全部解析出来,看到了加密规则,然后进行爆破
爆破用一下新获得的工具passware
然后设置爆破格式
7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)
15137326185
找到刚才的那个数据库的表,将body那一列进行解密,找到刷单.rar的那个人,为他,然后去O表里面去找这个人的手机号。
8.根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门(答案格式:理财部)技术部
通过前面得到的文档我们可以看到发送最多报表的认识臧某
他的toid是229
部门id为109,109为技术部
9.根据容恨寒的安卓手机分析,MAC的开机密码是(答案格式:asdcz)
apple
10.根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是(答案格式:1234)
1976
魏文茵苹果手机
11.根据魏文茵苹果手机分析,IMEI号是?
358360063200634
12.根据魏文茵苹果手机分析,可能使用过的电话号码不包括?(答案格式:13527821339)
A:18043618705 B:19212175391
C:19212159177 D:18200532661
可以直接搜索,发现AC在iPhone里,然后B在安卓里
臧觅风的安卓手机
13.根据臧觅风的安卓手机分析,微信ID是(答案格式:wxid_av7b3jbaaht123)
wxid_kr7b3jbooht322
14.根据臧觅风的安卓手机分析,在哪里使用过交友软件(答案格式:杭州)
西安
15.根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号(答案格式:1234524229)
5768224669
通过社交软件聊天记录可以发现
16.根据臧觅风的安卓手机分析,购买源码花了多少BTC?(答案格式:1.21)
0.08
17.根据臧觅风的安卓手机分析,接收源码的邮箱是(答案格式:asdasd666@hotmail.com)
都在同一个聊天记录里面
容恨寒苹果手机
该备份在容恨寒电脑里,导出后进行分析,密码为前面提到的
18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)
353271073008914
19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01 13:36:25)
2023-04-12 21:20:59
20.嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?(答案格式:2000-01-01)
00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6
去问建立找易信的源文件然后可以找到标识符
21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)
wxid_peshwv0rosih12
计算机取证(这一部分是我做的当时)
魏文茵计算机
1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)
Windows 10 Professional 14393 ,要组合起来,当时没有组合
2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)
通过仿真来看他设置的默认浏览器
3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)
A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx D:脚本.docx
A
4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)
1个
5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))
TrueCrypt
6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?(答案格式:C:\xxx\xxx)
C:\Users\WH\Documents
通过盘古石我们发现了加密文件,然后我们去寻找他的存储路径
7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?
000649-583407-395868-441210-589776-038698-479083-651618
恢复密钥在D盘的卷影未分配簇中,要进行搜索
用取证大师,这里打不开取证大师了,一会再整
8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)
38
9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)
100W,没找到
魏文茵计算机内存
10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是
728
臧觅风计算机
11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)
239F39E353358584691790DDA5FF49BAA07CFDBB
12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格式:100,000,000)
536870912
13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe
D
14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)
kangshifu0008
在手机聊天记录里面发现了这个人发给他的好东西,然后密码是他的邮箱,所以我们去他的计算机邮件里面找这个发件人的邮箱,然后去掉结尾的符号,因为题目给了格式
15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?(答案格式:22)
2282
进行仿真然后打开远程连接工具
16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password
P@ssw0rd
17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)
C1934045C3348EA1BA618279AAC38C67
18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)
F
仿真找到TC容器,然后可以发先有一个F盘,这个F盘就是挂载的
19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)
通过取证大师,我们可以发现有一个加密文件是,资料.docx,推测他为加密容器
然后挂载
解密TC容器用的是EFDD工具
注意要用内存来解密
经过一些列操作我们把他挂载到电脑的F盘,然后打开后可以发现
打开新建文本文档
20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)
后羿采集器
21.根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?
100+17+18970+96+29+13=19225
将每一个到处然后相加
22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)(★☆☆☆☆)
A.中国证券投资基金业协人员信息
B.仓山区市场监督管理局行政执法人员信息
C.清平镇卫生院基本公共卫生服务
D.仓山区市场监督管理局行政执法人员信息
C,没有C项
在容恨寒手机里面我们之前发现过这些文档
23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号?(答案格式:2211)
24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)
7890,根据前面做题发现过这个软件,然后去C盘program files(*86)里面找到该文件
25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格式:abc1234df334…)
d4029286acc8bfd97818d5f8724f0f0a
26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:www.baidu.com:1122)
该团伙内部使用的是Potato然后我们打开设置可以发现
27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-06 14:00:00)
2023-04-27 17:57:53 +0800
28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll
用axiom
29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?(答案格式:0xxxxx123…)
30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)
2023-04-27 17:55:32
31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)
D:\backup\mydata
容恨寒苹果电脑
32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)
macos 12.6
33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)
34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)
Darwin Kernel Version 21.6.0
使用uname-a
35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)
10次,不确定,因为始终在变化
36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)
2023-04-14 07:55:50
因为是GMT所以还要减8
37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)
15
hostname是查询主机名的命令
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)
70.8
嫌疑人桌面上有个文件,打开发现是个压缩包应该,然后进行破解
根据前面提到的规则没有破解出来,然后看了奇佬的WP发现尽然是hn结尾,然后就爆出来,筛选求和
39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?(答案格式:8小时)
2.5小时
40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?(答案格式:xxx@xxx.xx)
IxCnq3@yDp.net
41.通过分析得出嫌疑人容恨寒小孩的年龄是?(答案格式:10岁)
没有正确答案,只发现了一个八年级奥数教材,推测13/14岁
恶意程序分析(这一部分不是很会,刚好借助这次机会学习一下二进制文件的取证分析)
1.根据魏文茵的计算机分析,恶意程序加了什么类型的壳(答案:asdcz)
UPX
打开最近的应用程序,然后进行排除,再结合前面问题问的print.exe我们可以想到这个print应该就是恶意程序,然后我们对这个程序进行分析
将他导出进行分析用情报沙箱来分析,发现就是他
2.根据魏文茵的计算机分析,恶意程序调用了几个dll(答案:1)
5个
3.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用(答案:1)
先在imports那一列找到send,然后查看他的偏移,然后到ida view-a里面找send函数
右键点击X
然后看到 这个图
address那一列就是引用函数的那一列,sub是自定义函数,main是主函数,然后我们只需要数sub/main与+号之间那部分取唯一值就好了,这道题一个主函数,五个自定义函数
也可以直接在view里面用这个
清晰可见
4.根据魏文茵的计算机分析,恶意程序远控端ip(答案:120.1.2.3)
192.168.8.110
找到主函数,然后F5查看main0(不是很理解为什么,还要继续学习深入)
5.根据魏文茵的计算机分析,恶意程序远控端端口(答案:123)
6069
6.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp
答案是TCP,用沙箱来做感觉是UDP
做法是把主函数的代码用chatgpt分析一下发现是用来TCP连接的
7.根据魏文茵的计算机分析,恶意程序能执行几条命令(答案:123)
5条
分析主函数
8.根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令(答案:1a)
6s
9.(多选题)根据魏文茵的计算机分析,恶意程序加密哪些后缀文件(★★★☆☆)
A.docx
B.xlsx
C.pdf
D.doc
ABCD
10.根据魏文茵的计算机分析,编写该程序电脑的用户名是(答案:12345)
11.嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:(答案格式:12345))
44300
暗网取证
1.臧觅风电脑使用暗网浏览器版本是?(答案格式:10.0.0)
12.0.4
上接计算机19题
我们挂载到F盘以后,看到了那个keepass软件,用拿到的密码来解密后可以发现
打开TC加密
拿到了资料挂载的密码为Zang!@#123
然后我们去挂载资料
发现了里面有一个Tor Browser的文件夹,推测他为暗网浏览器
2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?(答案格式:制作)
比特币市场
可以发现他浏览最多的是比特币市场
3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?(答案格式:2000-01-01 01:00:09)
2022-05-27 21:49:33
无法在虚拟机里面直接查看
做法有两种,一:手搓取本地文件里面找,二:将资料挂载到本地,然后用火眼跑
不知道为什么我的VC挂载不上,所以只能学习奇佬的手搓了
文件路径/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default下的places.sqlite,然后挂到navicat上面分析表
找到社工表的添加事件,然后转换时间,时间戳只用前几位就行,按照提示
4.臧觅风电脑使用的暗网浏览器第一次使用时间是?(答案格式:2000-01-01 01:00:09)
2023-04-12 10:19:06
找访问时间表
5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?(答案格式:字母小写)
EA86403D1DE3089B3D32FE5706D552F6改成小写
路径:/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default/extensions
是个压缩包,导出后解压,在content里面找到ftp.js,然后求md5
物联取证
1.请给出该软路由管理的IP地址?(答案格式:192.168.1.1)
192.168.8.20
仿真一下子就看到了
2.请给出该软路由管理员的密码?(答案格式:admin123!@#)
P@ssw0rd
前面有道题问过,网站进不去后面的题目暂时做不了了
3.请给出阿里云WebDAV的token?(答案格式:bac123sasdew3212…)
4.请给出该软路由所用机场订阅的token?(答案格式:bac123sasdew3212…)
5.请给出该软路由数据卷的UUID?(答案格式:8adn28hd-00c0c0c0…)
6.请给出该软路由的共享路径?(答案格式:/home/data)
/mnt/data
查看samba文件,他是共享文件
/etc/samba/smb.conf
扫一扫
5119
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
