案情简介
近期,某公安机关接到受害人报案:通过微信添加认识一位相亲中介客服,客服邀约其与“相亲”对象进行选妃,受害人上钩后,整个过程被涉案团伙录音录像,同时,该客服以有更多的对象可供挑选为由,引导受害人下载其事先制作好的木马APP,受害人安装该APP后,嫌疑人利用录制的视频和受害人的通讯录做要挟,从而实施多次诈骗。最终受害人不堪重负,选择报案。
警方赶到现场后,发现涉案团伙参与另一起侵公案件,故迅速对现场设备进行证据固定制作镜像,并制作以下检材清单,请对检材分析:
序号
检材信息
检材大小
检材哈希(MD5)
1
受害人手机检材.dd
24,226,000,896 字节
f0fcbf82c134b5c47aac5355b74a83d8
2
涉案计算机检材.E01
12,510,412,800 字节
43d8b3820cd5103b42773b80140939aa
3
涉案服务器检材.E01
8,471,552,000 字节
6f970587231acbae7333b28168adc3b3
4
数据流量包.pcapng
17,334,272 字节
7847c2ee62660ea0696d99125d997628
下载链接
百度网盘链接:https://pan.baidu.com/s/1gN1Tq8VYAxTKJBByhhJjqA?pwd=a95v
提取码:a95v
容器密码:MjAyNOm+meS/oeadrw==
一、手机取证
1、分析手机检材,请问此手机共通过adb连接过几个设备?[标准格式:3]
答案:2
解析:没有火眼看不到源文件,尝试修改手机检材后缀dd为tar成功
直接搜索adb的文件,可以找到一个xml文件
2、分析手机检材,机主参加考试的时间是什么时候?[标准格式:2024-06-17]
答案:2024-08-23
解析:
3、分析手机检材,请问手机的蓝牙Mac地址是多少?[标准格式:12:12:12:12:12:12]
答案:48:87:59:76:21:0f
解析:
4、分析手机检材,请问压缩包加密软件共加密过几份文件?[标准格式:3]
答案:6
解析:手机中曾下载过filecomepress,尝试找到
5、分析手机检材,请问机主的另外一个155的手机号码是多少?[标准格式:15555000555]
答案:15599555555
解析:搜索filecompress可以找到该软件的apk
找到解压密码:1!8Da9Re5it2b3a.
6、分析手机检材,其手机存在一个加密容器,请问其容器密码是多少。[标准格式:abc123]
答案:d7Avsd!Y]u}J8i(1bnDD@<-o
解析:
7、分析手机检材,接上问,其容器中存在一份成员名单,嫌疑人曾经误触导致表格中的一个成员姓名被错误修改,请确认这个成员的原始正确姓名?[标准格式:张三]
答案:
解析:
8、分析手机检材,接上题,请确认该成员的对应的最高代理人是谁(不考虑总部)?[标准格式:张三]
答案:
解析:
9、分析手机检材,请确认在该组织中,最高层级的层次是多少?(从总部开始算第一级)[标准格式:10]
答案:
解析:
10、分析手机检材,请问第二层级(从总部开始算第一级)人员最多的人是多少人?[标准格式:100]
答案:
解析:
11、分析手机检材,机主共开启了几款APP应用分身?[标准格式:3]
答案:2
解析:VMOS支持应用双开
12、分析手机检材,请问机主现在安装了几款即时通讯软件(微博除外)?[标准格式:1]
答案:2
解析:
13、分析手机检材,请问勒索机主的账号是多少(非微信ID)?[标准格式:AB123CD45]
答案:1836042664454131712
解析:
14、分析手机检材,接上问,请问机主通过此应用共删除了多少条聊天记录 ?[标准格式:2]
答案:1
解析:
15、分析手机检材,请问会盗取手机信息的APP应用包名是什么?[标准格式:com.lx.tt]
答案:com.lxlxlx.luoliao
解析:apk在微信聊天记录中
16、接上题,请问该软件作者预留的座机号码是多少?[标准格式:40088855555]
答案:40085222666
解析:首先在MainActivity中寻找,发现有特殊编码,继续找发现要用AES解密,
密钥为:E10ADC3949BA59ABBE56E057F20F883E
注意此处的w0+x0,拼起来是完整的:iSkrO/5aOpJ6AAFQNl4t/9k013k52gh6U+1240De1DEVJaQJ7ByaJExZmcgdXkz92RANgWCqZ/T6prig6uqOFA==
在另一个包中找的AES解密的条件
用Cyberchef网络厨师
From Base64, AES Decrypt - CyberChef在线加密解密-🔰雨苁ℒ🔰 (ddosi.org)
17、接上题,恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少?[标准格式:lx@gmail.com]
答案:1304567895@gmail.com
解析:同上
18、接上题,恶意程序偷取数据的发件邮箱地址是多少?[标准格式:lx@gmail.com]
答案:temp1234@gmail.com
解析:在另一个包中找到,与AES解密条件在同一个上级包中
19、接上题,恶意程序偷取数据的发件邮箱密码是多少?[标准格式:abc123]
答案:qwer123456
解析:同上
20、接上题,恶意程序定义收发件的地址函数是什么?[标准格式:a]
答案:a
解析:?
二、计算机取证
1、分析计算机检材,嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密,用于加密的key是多少?[标准格式:1A23456ABCD]
答案:65B2564BG89F16G9
解析:仿真计算机检材,打开PyCharm可找到
2、分析计算机检材,身份证为"371963195112051505"这个人的手机号码是多少?[标准格式:13013524420]
答案:15075547510
解析:?
3、分析计算机检材,对解密后的身份证数据列进行单列去重操作,重复的身份证号码数量是多少?(身份证不甄别真假)[标准格式:100]
答案:
解析:
4、分析计算机检材,接上题,根据身份证号码(第17位)分析性别,男性的数据是多少条?[标准格式:100]
答案:
解析:
5、分析计算机检材,接上题,对解密后的数据文件进行分析,甄别身份证号码性别值与标识性别不一致的数量是多少?[标准格式:100]
答案:
解析:
6、分析计算机检材,计算机中存在的“VPN”工具版本是多少?[标准格式:1.1]
答案:4.4
解析:
7、分析计算机检材,计算机中存在的“VPN”节点订阅地址是什么?[标准格式:http://xxx.xx/x/xxx]
答案:https://paste.ee/d/4elzU
解析:
8、分析计算机检材,eduwcry压缩包文件的解压密码是什么?[标准格式:abcabc]
答案:yasuomima
解析:
9、分析计算机检材,接上题,请问恶意程序释放压缩包的md5值是多少。[标准格式:全小写]
答案:
解析:
10、分析计算机检材,接上题,请问恶意程序记录的洋葱浏览器下载地址是多少?[标准格式:http://xxx.xxx/xxx/xxx.zip]
答案:
解析:
11、分析计算机检材,接上题,请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式:全小写]
答案:
解析:
12、分析计算机检材,接上题,恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式:2]
答案:
解析:
13、分析计算机检材,接上题,请问@WanaDecryptor@.exe.lnk文件是通过什么函数创建的。[标准格式:Aabcdef]
答案:
解析:
14、分析计算机检材,接上题,恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式:sub_xxx]
答案:
解析:
15、分析计算机检材,VeraCrypt加密容器的密码是什么?[标准格式:abc]
答案:qwertyuiop1
解析:
16、分析计算机检材,其中存在一个苹果手机备份包,手机备份包的密码是什么?[标准格式:12345]
答案:75966
解析:?
17、分析计算机检材,接上题,机主实际篡改多少条微信数据?[标准格式:1]
答案:
解析:
18、分析计算机检材,接上题,机主共存款了多少金额?[标准格式:10万]
答案:
解析:
19、分析计算机检材,在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]
答案:340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e
解析:?
20、分析计算机检材,接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]
答案:anzhuo.com
解析:?
三、流量分析
1、分析流量包检材,给出管理员对web环境进行管理的工具名。[标准格式:小皮]
答案:
解析:
2、分析流量包检材,给出攻击者的ip地址是多少。[标准格式:127.0.0.1]
答案:192.168.209.135
解析:http.request.method=="GET"
3、分析流量包检材,给出攻击者爆破出的网站非管理员用户名是。[标准格式:admin]
答案:
解析:?
4、分析流量包检材,攻击者进行目录扫描得到的具有后门的页面url路径为。[标准格式:/abc.html]
答案:/cont.php
解析:?
5、分析流量包检材,攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。[标准格式:test-type]
答案:content-type
解析:?
6、分析流量包检材,攻击者上传成功的恶意文件, 该文件的临时存放路径是。[标准格式:/abc/edf]
答案:/tmp/php7Ndiwg
解析:?
7、分析流量包检材,服务器php配置文件的存放位置[标准格式:/www/sev/php.ini]
答案:/www/server/php/82/etc/php.ini
解析:?
8、分析流量包检材,被攻击的web环境其数据库密码是。[标准格式:qwer1234]
答案:X847Z3QzF1a6MHjR
解析:?
9、分析流量包检材,服务器管理存放临时登录密码的位置。[标准格式:/tmp/pass]
答案:/tmp/tmppass
解析:?
10、分析流量包检材,黑客获取的高权限主机的登录密码。[标准格式:qwer1234]
答案:passwd!@#
解析:?
四、服务器取证
进入服务器后会删东西
进入单用户模式,教程参考:https://blog.csdn.net/weixin_46622976/article/details/130428906
进入单用户后,重新挂载根目录,使其可写;
执行mount -o remount,rw /
表示原先是只读的系统,现在用可读写的模式重新挂载到根目录
执行exec /sbin/init,退出单用户模式
1、分析服务器检材,服务器会做登录密码验证,该登录验证文件位置在?[标准格式:/xxx/xxx/xxx.xxx]
答案:/etc/profile.d/check-system.sh
解析:找.sh脚本文件,从最近的时间看
2、分析服务器检材,服务器ssh端口是多少?[标准格式:1234]
答案:12320
解析:
或者仿真后用命令netstat -antp
3、分析服务器检材,服务器docker内有多少个镜像。[标准格式:100]
答案:7
解析:
4、分析服务器检材,服务器内sqlserver默认账号的密码是?[标准格式:xxx]
答案:i7uFtnkTv8
解析:?
5、分析服务器检材,服务器内sqlserver存放了阿里云存储下载地址,该下载地址是?[标准格式:https://xxx]
答案:https://xinfenfa.oss-accelerate.aliyuncs.com
解析:直接搜索“下载地址”找到,再搜索该地址验证
6、分析服务器检材,服务器内sqlserver内“cmf_user_action_log”表,表内存在的用户操作日志,一共操作次数是多少?[标准格式:100]
答案:4
解析:?
7、分析服务器检材,该服务器正在使用的数据库的持久化目录是什么?[标准格式:/xxx/xxx]
答案:/data/mongo
解析:?
8、分析服务器检材,该网站后台正在使用的数据库有多少个集合?[标准格式:100]
答案:
解析:?
9、分析服务器检材,该网站的后台登录地址是?[标准格式:/xxx/xxx.xxx 全小写,不加域名]
答案:mingadmin/common/login
解析:?
10、分析服务器检材,该网站后台使用的管理员加密算法是?[标准格式:全大写]
答案:BCRYPT
解析:?
11、分析服务器检材,该网站最早使用超级管理员进行删除管理员操作的IP地址是?[标准格式:x.x.x.x]
答案:117.132.191.203
解析:?
12、分析服务器检材,该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件,该文件内的账单交易订单号是多少?[标准格式:123456]
答案:
解析:
13、分析服务器检材,该网站存在网站数据库备份功能,该功能的接口地址是?[标准格式:/xxx/xxx 全小写,不加域名]
答案:
解析:
14、分析服务器检材,该网站存放银行卡信息数据表中,其中信息数量前十的公司对应旗下visa银行卡一共有多少金额?[标准格式:100.00]
答案:22139070.85
解析:?
15、分析服务器检材,该网站在2023年二月一共获取了多少条通信记录?[标准标准格式:100]
答案:
解析:
16、分析服务器检材,该网站的一条管理员信息存在数据篡改,请分析是哪个管理员信息遭到篡改,该管理员用户名是?[标准格式:ABCDE]
答案:
解析: