题目:
1:【APK取证】涉案apk的包名是?[答题格式:com.baid.ccs]
com.vestas.app
2:【APK取证】涉案apk的签名序列号是?[答题格式:0x93829bd]
0x563b45ca
3:【APK取证】涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]
2147483647
拖进jadx 在配置文件里有
4:【APK取证】涉案apk的服务器域名是?[答题格式:http://sles.vips.com]
5:【APK取证】涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]
io.dcloud.PandoraEntry
6:【手机取证】该镜像是用的什么模拟器?[答题格式:天天模拟器]
雷电模拟器
7:【手机取证】该镜像中用的聊天软件名称是什么?[答题格式:微信]
与你
放里面就能看到
8:【手机取证】聊天软件的包名是?[答题格式:com.baidu.ces]
com.uneed.yuni
9:【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]
5万
10:【手机取证】受害人是经过谁介绍认识王哥?[答题格式:董慧]
华哥
11:【计算机取证】请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]
23F861B2E9C5CE9135AFC520CBD849677522F54C
12:【计算机取证】给出pc.e01在提取时候的检查员?[答案格式:admin]
打开取证大师
pgs
13:【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]
14:【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]
15:【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]
仿真软件打开WPS查看
16:【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]
直接搜发现没有
在D盘下又发现一个img文件
把它添加为新检材
找到
24CFCFDF1FA894244F904067838E7E01E28FF450
17:【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]
看wp要用盘古石分析
我没有
略
但学习一下vc加密
遇到VeraCrypt如何取证?【美亚技术分享VOL.69】 - 知乎
——————————更新————————
3w.qax.com!!@@
原来在仿真机里面的就可以找到“密码.txt”
而且仿真机还自带everything的安装包
真是贴心
18:【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]
3261
这题一脸懵
看别人的wp
是在仿真机的程序里面找到和iscsi的羁绊
查了一下他们俩到底有什么羁绊
也就是说starwind服务器也可以看成iSCSI服务器
打开就能看到服务器端口 上网查了一下这个协议默认端口是3260
(差了一点点。。)
19:【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]
把文件导出
在vscode里面找到starwind.cfg
这里这个cfg文件是配置文件
20:【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]
1019
找到可疑文件
用vc容器挂载一下
密码就是第17题那个
21:【内存取证】请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
22:【内存取证】请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
3w.qax.com
用mimikatz插件
这个插件要安装construct 模块
安装这个模块需要升级pip2
具体教程
kali安装volatility及插件mimikatz_mimikatz.py-CSDN博客
23:【内存取证】提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-20 01:01:25
用usbstor插件 时间+8
这是外部插件
使用时需要加上它的路径
安装教程
24:【内存取证】请给出用户yang88的LMHASH值?[答案格式:字母小写]
aad3b435b51404eeaad3b435b51404ee
这里的LMHASH值我觉得应该是NTLM(NT LAN Manager)
因为win7使用的是NTLMhash
在更早的版本才会用LNhash加密
25:【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 00:29:16
用timeliner插件查看内存中的各种痕迹信息的时间线
vol.py -f memdump.mem --profile=Win7SP1x64 timeliner>lcycb.txt
查找‘提现记录.xlsx’的URL编码
26:【内存取证】请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
查看进程表也可以查出来
27:【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
2
vol.py --plugins=./volatility-master/volatility/plugins -f memdump.mem --profile=Win7SP1x64 chromehistory 
28:【内存取证】请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
2456
vol.py -f memdump.mem --profile=Win7SP1x64 pslist 
服务器取证且听下回分解
总结
初识apk取证 手机取证
大部分考察软件使用
计算机取证和内存取证
对我来说最曲折的就是不理解题目在问什么
以及对一些敏感文件的警惕性
对于vol插件的使用有更近一步的了解
| mimikatz | 查看当前操作系统中的用户明文密码 | vol.py --plugins=./volatility-master/volatility/plugins -f memdump.mem --profile=Win7SP1x64 mimikatz |
| usbstor | 扫描注册表查找插入系统的 USB 设备 | vol.py --plugins=./volatility-master/volatility/plugins -f memdump.mem --profile=Win7SP1x64 usbstor |
| hashdump | 查看用户名密码信息(密码是哈希值,需要john爆破) | vol.py -f memdump.mem --profile=Win7SP1x64 hashdump |
| timeliner | 将所有操作系统事件以时间线的方式展开 | vol.py -f memdump.mem --profile=Win7SP1x64 timeliner>lcycb.txt |
| pslist | 查看已知进程 | vol.py -f memdump.mem --profile=Win7SP1x64 pslist |
| chromehistory | 谷歌浏览器历史记录 | vol.py --plugins=./volatility-master/volatility/plugins -f memdump.mem --profile=Win7SP1x64 chromehistory |
参考:
183
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
