2024龙信杯

最新推荐文章于 2024-11-22 17:46:30 发布

iwlmo

最新推荐文章于 2024-11-22 17:46:30 发布

阅读量760

点赞数 13

文章标签：哈希算法

本文链接：https://blog.csdn.net/iwlmo/article/details/142832401

版权

手机取证

1.分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]

在手机检材中搜adb，能看到有 adb_keys和adb_temp_keys.xml两个文件，

通过文件内容能看到有两个连接记录

2

2.分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]

在便签里能看到有时间，看一下日历推一下

2024-08-23

3.分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]

48:87:59:76:21:0f

4.分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]

在浏览器中的搜索记录能够看到下载过filecompress软件，

在百度上搜索可以看到filecompress这个软件是一个压缩工具

搜索即可看到有六个压缩包

在特征不符中也可以看到有六个文件

6

5.分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]

尝试解压上题找到的六个加密文件，发现需要密码

这里需要导出上题的filecompress软件，分析他的源码

全局搜索password，能够找到这一条记录

通过跳转到该记录中，能够看到这是软件入口文件

所以压缩密码就是1!8Da9Re5it2b3a.

然后解压mm.txt

15599555555

6.分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）

在重要.txt中能够看到还有一个记录

在默往中也能看到容器密码

d7Avsd!Y]u}J8i(1bnDD@<-o

7.分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]

容器位置在/media_425/0/Download/data

这个容器只能用tc挂载，vc挂载会失败

打开以后能看到两个文件

我这里是直接用Excel做的

题目说是有一个人名字被修改，所以可以推断为一个人手机号对应多个姓名

首先是通过删除重复项使所有的姓名只出现一次

然后通过分类汇总来统计哪个手机号出现的次数为两次及以上

通过筛选后可以看到只有15979503550号码出现过两次

陆俊梅

8.分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]

通过一级一级搜可以确定关系为

陆俊梅-->肖玉莲-->刘珏兰-->总部

刘珏兰

9.分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]

最大层数为11层，加上总部所以一共12层

12

10.分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100]

60

11.分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]

在龙信手机取证里面可以看到

2

12.分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]

2

13.分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]

根据题目说的不是微信id，所以推测应该是默往

1836042664454131712

14.分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录？[标准格式：2]

1

15.分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]

com.lxlxlx.luoliao

16.接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]

在雷电自动分析中能看到分析出了一个邮箱，所以去看他的函数

在入口函数中能看到大量的c0251a

跳转进去可以看到是AES加密

在底下能看到一个tips，所以可以解一下后面内容，一个w0一个x0

40085222666

17.接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：lx@gmail.com]

解密其他的

f1250v0的内容就是邮箱

1304567895@gmail.com

18.接上题，恶意程序偷取数据的发件邮箱地址是多少？ [标准格式：lx@gmail.com]

根据上题的v0追踪到c0258a

解密f968d

temp1234@gmail.com

19.接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]

解f969e

qwer123456

20.接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

邮箱这里的函数基本都为a

a

计算机取证

1.分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？[标准格式：1A23456ABCD]

这里镜像仿真不要重置密码，火眼能跑出来

在pycharm中能看到

65B2564BG89F16G9

2.分析计算机检材，身份证为"371963195112051505"这个人的手机号码是多少？[标准格式：13013524420]

根据加密文件以及加密脚本写出解密脚本

第十五行和十六行如果报错的记得修改一下路径，可以改为绝对路径

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad


def aes_decrypt(encrypted_data, key, iv):
# 使用密钥和初始向量（IV）创建一个 AES Cipher 对象，模式为 CBC
    cipher = AES.new(key, AES.MODE_CBC, iv)
# 使用 Cipher 对象的 decrypt 方法对加密数据进行解密
    decrypted_data = cipher.decrypt(encrypted_data)
# 使用 unpad 函数去除解密数据中的填充，确保数据的完整性
    unpadded_data = unpad(decrypted_data, AES.block_size)
# 解密后的字节数据解码为 UTF-8 格式的字符串
    return unpadded_data.decode()


key = b'65B2564BG89F16G9'
iv = b'83E6CBEF547944CF'

encrypted_file = "E:\Python\encrypted\encrypted_data.txt"
decrypted_file = "decrypted_data.txt"

with open(encrypted_file, "r") as f_in, open(decrypted_file, "w") as f_out:
    for line in f_in:
        parts = line.strip().split(',')
        index = parts[0]
        f_out.write(index + ",")

        decrypted_parts = []
        for encrypted_part_hex in parts[1:]:
            encrypted_part = bytes.fromhex(encrypted_part_hex)
            decrypted_part = aes_decrypt(encrypted_part, key, iv)
            decrypted_parts.append(decrypted_part)

        f_out.write(",".join(decrypted_parts) + "\n")

print("解密完成。")

直接搜就行

15075547510

3.分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假)[标准格式：100]

（我本来用的数据库，但是文件不知道为啥导不进去，所以我这里直接借用佬的码）

def count_unique_ids(input_file):
    unique_ids = set()
    with open(input_file, "r", encoding="gbk") as f_in:
        for line in f_in:
            parts = line.strip().split(',')
            id_card = parts[2]
            unique_ids.add(id_card)
    return len(unique_ids)

input_file = "decrypted_data.txt"
unique_count = count_unique_ids(input_file)
print("去重后的身份证个数为:", unique_count)
#结果为：10000000

0

4.分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？[标准格式：100]

def count_male_ids(input_file):
    male_count = 0
    with open(input_file, "r", encoding="gbk") as f_in:
        for line in f_in:
            parts = line.strip().split(',')
            if len(parts) < 3:
                continue
            id_card = parts[2]

            if len(id_card) == 18:
                gender_digit = int(id_card[16])
                if gender_digit % 2 == 1:
                    male_count += 1

    return male_count

input_file = "decrypted_data.txt"
male_count = count_male_ids(input_file)
print("男性人数为:", male_count)
#5001714

5001714

5.分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？[标准格式：100]

def count_mismatched_gender(input_file):
    mismatch_count = 0  # 用于统计性别不一致的人数

    # 打开输入文件，指定 gbk 编码读取数据
    with open(input_file, "r", encoding="gbk") as f_in:
        for line in f_in:
            parts = line.strip().split(',')
            if len(parts) < 5:
                continue
            id_card = parts[2]
            actual_gender = parts[4]

            if len(id_card) == 18:
                gender_digit = int(id_card[16])
                id_gender = "男" if gender_digit % 2 == 1 else "女"

                if id_gender != actual_gender:
                    mismatch_count += 1

    return mismatch_count

input_file = "decrypted_data.txt"
mismatch_count = count_mismatched_gender(input_file)
print("身份证性别和最后一列性别不一致的人数为:", mismatch_count)
#5001185

6.分析计算机检材，计算机中存在的“VPN”工具版本是多少？[标准格式：1.1]

在E盘翻一翻

4.4

7. 分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？[标准格式：http://xxx.xx/x/xxx]

在配置里面的订阅可以直接看到

https://paste.ee/d/4eIzU

8.分析计算机检材，eduwcry压缩包文件的解压密码是什么？[标准格式：abcabc]

在压缩包里面有个密码管理器可以直接看到

yasuomima

9.分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。[标准格式：全小写]

用pestudio看一下程序

提示了有pkzip

用resource hacker导出该zip

借鉴网上资料

b.wnry: 中招敲诈者后桌面壁纸
c.wnry: 配置文件，包含洋葱域名、比特币地址、tor下载地址等
r.wnry: 提示文件，包含中招提示信息
s.wnry: zip文件，包含Tor客户端
t.wnry: 解密后得到加密程序所需的dll文件
u.wnry: 解密程序(敲诈者主界面
f.wnry: 可免支付解密的文件列表
WNCYRT:加密过程中生成的，有的被随机擦写过、有的是原文件、有的只对文件头进行了处理WNCRY: 加密后的文件