2023年8月有市民报案称,当日在乘坐地铁过程中,自己的苹果手机收到一条隔空投送的图片,该图片内容涉及违法广告,随即报案。公安机关第一时间提取了报案人员苹果手机中的日志2023FIC-iphone.zip。(请根据此剧情回答“日志分析”部分题目)
警方根据上述日志分析掌握到的手机号码,迅速落地到犯罪嫌疑人,并在其家中将其抓获,获得犯罪嫌疑人家中的个人计算机,并将其制作成镜像2023FIC-PC.E01,同时通过审讯,掌握了嫌疑人部分口供,并制作成询问笔录-李安弘.docx文件;
警方根据上述个人计算机分析,根据找到的连接地址,掌握到了嫌疑人控制的远程服务器,并对服务器进行调证,得到镜像2023FIC-server.E01,请根据上述剧情,综合分析并回答所有问题
1、请分析苹果手机导出日志,airdrop所使用的扫描模式(Scanning Mode)为?
答案:Scanning mode Contacts Only
解析:
2、AirDrop服务计划监听端口号是多少?
答案:8770
解析:
3、AirDrop中接收到图片的uuid格式的识别码是多少?(标准格式:12345678-1234-5678-1234-567812345678)
答案:DC305C27-CB72-4786-8E0A-5346CD7B0D6A
解析:
4、AirDrop日志中可以看到几条接收记录?
答案:1
解析:
5、AirDrop日志中可以分析出图片发送人是谁?(标准格式:中文名)
答案:卢冠华
解析:
6、AirDrop日志中可以分析出发送图片的设备名称是什么?(标准格式:Ipad 11)
答案:MatePad Pro 12.9
解析:
7、AirDrop日志中可以分析出发送人AppleID邮箱是什么?(标准格式:12345@qq.com)
答案:4979ecbb-5312-4801-851d-a959ec847463@inbox.appleid.apple.com
解析:
8、AirDrop日志中可以分析出发送的图片文件名是什么?(标准格式:1.txt)
答案:IMG_3204.pvt
解析:
9、AirDrop日志中可以分析投送嫌疑人的手机号的SHA256后五位是?
答案:2d99d
解析:
10、请结合工具分析日志,找出Airdrop投送方的手机号码?(答案格式:18877776666)
答案:18697928485
解析:
11、请计算计算机检材的原始磁盘的SHA256值(不区分大小写)
答案:FDD3ED3893E31D6E9A363A83969AA701D06E0E3E3628B7DC97A8A23C13FF027D
解析:
12、检材2023FIC-PC.E01的计算机开机密码为
答案:1qaz@WSX3edczhaohong
解析:
13、请根据笔录交代,分析计算机检材,找出airdrop投递的图片内容中,违法网站的域名为?(答案格式:www.baidu.com)
答案:www.HLHL.com
解析:
14、请计算嫌疑人计算机中名为“测试模拟器.ldbk”的文件的SHA256值
答案:053950850ec6200c1a06a84b6374bd62242064780f7f680ca23932ee53dc0110
解析:
15、请根据笔录交代,分析计算机检材,钱包对应的密钥计算过程中,调用了以下哪种算法?(多选)
A、AES B、DES C、BASE58 D、BASE64 E、HKDF
答案:CE
解析:
16、请分析2023FIC-PC.E01检材,并回答,发现嫌疑人计算机中使用了哪种远程工具?(单选)
A、ToDesk B、Xshell C、向日葵 D、网探 E、RayLink
答案:C
解析:
17、请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,控制对端的公网IP为
答案:116.192.174.254
解析:
18、请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,控制对端的内网IP为
答案:172.19.0.129
解析:
19、请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,控制对端通过连接远程工具的中转服务器实现的P2P连接,该中转服务器的IP为
答案:58.215.100.83
解析:
20、请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,于什么时间释放远控行为?(答案各位为:23:59:59)
答案:18:39:17
解析:
21、请计算APK勒索样本程序的SHA256值?(不区分大小写)
答案:99c8af2df71e80a30f9fe33e73706fb11fde024517d228d606326bba14466988
解析:
22、APK程序在勒索的时候会向服务器申请钱包地址,请问申请后台IP地址为?
答案:116.192.174.254
解析:
23、APK从服务器端申请的包含钱包地址的配置文件的文件名为?
答案:hlock_bitcoin_address
解析:
24、APK程序在嫌疑人测试环境中,申请到的钱包地址为?
答案:G7BWj89myshDFUHLdT23KFijyRqw5D9kdw
解析:
25、嫌疑人模拟器中,有测试文件被加密,该文件被加密后文件名为?
答案:iamanswer.txt.hlock
解析:
26、APK程序勒索过程中,对于勒索文件使用的加密算法为?
A、AES B、DES C、BASE58 D、BASE64 E、HKDF
答案:A
解析:
27、请综合分析检材,嫌疑人模拟器环境中,申请的钱包地址对应的加密密钥为?
答案:KkVuCbGMYTnuSAzHEQhFeR
解析:
28、嫌疑人模拟器中,有测试文件被加密,被加密文件的文件内容为?
答案:67897GHU628HLGF167
解析:
29、请综合分析检材,嫌疑人的密钥库文件的sha256值为?(不区分大小写)
答案:ADD782FA83C459B2937E968412C657453DCD54E3FE2776AAA9C51E6C152CFB26
解析:
30、如果嫌疑人使用的勒索钱包为74Vmx83bYvuhffEHnxVNnbbq9d1AAfJhXZ,那么该钱包对应的AES加密KEY为?
答案:ATuHF2rakbd6kN6tTuFjRD
解析:
31、请分析服务器中嫌疑人用于赚钱的sql程序,数据库中的用户记录总共有多少条?
答案:68307
解析:
32、请分析服务器中嫌疑人用于赚钱的sql程序,用户最早的注册日期是什么?(标准格式:2020-01-01 12:00:00)
A、2019-12-30 19:21:19
B、2019-12-30 19:22:19
C、2019-12-30 19:23:19
D、2019-12-30 19:24:19
E、2019-12-30 19:25:19
答案:B
解析:
33、请分析服务器中嫌疑人用于赚钱的sql程序,用户数据中的最深层级的用户名为?[组织架构中最大层数](标准格式:中文名)
答案:胡艳红
解析:
34、请分析服务器中嫌疑人用于赚钱的sql程序,直接奖励的总金额是多少?(标准格式:100.00)
答案:1142590.00
解析:
35、请分析服务器中嫌疑人用于赚钱的sql程序,间接奖励的总金额是多少?(标准格式:100.00)
答案:2293600.00
解析:
36、请分析服务器中嫌疑人用于赚钱的sql程序,贡献奖的总金额是多少?(标准格式:100.00)
答案:2431042.00
解析:
37、请分析服务器中嫌疑人用于赚钱的sql程序,全球分红奖励的总金额是多少?(标准格式:100.00)
答案:2036114.90
解析:
38、请分析服务器中嫌疑人用于赚钱的sql程序,个人投资的总金额是多少?(标准格式:100.00)
答案:25043200
解析:
39、请分析服务器中嫌疑人用于赚钱的sql程序,没有上线也没有下线的用户数量是多少?
答案:272
解析:
40、请分析服务器中嫌疑人用于赚钱的sql程序,没有上线但有下线的用户数量有多少?
答案:8
解析:
41、请分析服务器中嫌疑人用于赚钱的exe程序,并计算其md5值?(不区分大小写)
答案:E8B1C00DCA13B5CA83BD7C5623A80F07
解析:
42、请分析服务器中嫌疑人用于赚钱的exe程序,编译此程序的计算机用户名是什么?
答案:MBRE
解析:
43、请分析服务器中嫌疑人用于赚钱的exe程序,本程序一共创建了几个窗口?
答案:3
解析:
44、请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容是什么?
答案:HLFIC2023
解析:
45、请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容使用了什么字体?
答案:Microsoft YaHei Light
解析:
46、请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中显示的字符串第一笔的长度为多少像素(答案格式只需填写数字)
答案:60
解析:
47、请分析服务器中嫌疑人用于赚钱的exe程序,窗口2中解密字符串所使用的密钥为?
答案:hellohello
解析:
48、请分析服务器中嫌疑人用于赚钱的exe程序,窗口2中使用了解密算法为?
A.RC4 B.AES C.DES D.SHA256 E.ECC
答案:A
解析:
49、请分析服务器中嫌疑人用于赚钱的exe程序,在俄罗斯方块游戏中,在键盘上依次按下哪些键可以进入窗口2?
答案:SSADWWSWAADDSS
解析:
50、请分析服务器中嫌疑人用于赚钱的exe程序,窗口2植入的广告中,赌博网站的域名为?
答案:www.abcd.com
解析: