2024盘古石取证比赛(手机)

已于 2024-05-21 19:51:24 修改
阅读量1.8k 收藏 21
点赞数 34
文章标签: 智能手机
于 2024-05-21 19:44:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75236662/article/details/139100725
版权

题目列表

使用软件:盘古石手机取证分析软件
分析伏季雅三星zip包

1. 分析伏季雅的手机检材,手机型号是:[答案格式:HUAWEI-FL56T][★☆☆☆☆]


也可以自己找,该值会存储在/data/system/user/0/settings_secure.xml:

SM-G996N

2. 分析伏季雅的手机检材,其和受害人视频通话的时间是:[答案格式:2024-01-01-04-05][★☆☆☆☆]

2024-04-24-20-46-39

3. 分析伏季雅的手机检材,手机中安装了一款记账APP,该记账APP存储记账信息的数据库名称是:[答案格式:abcabc,区分大小写][★☆☆☆☆]


定位数据库位置
Samsung.zip\data\data\com.bookmark.money\databases

MoneyLoverS2

4. 接上题,该记账APP登录的邮箱账号是:[答案格式:abc@abc.com][★★★☆☆]

carleenloydlyis40@gmail.com

5. 接上题,该记账APP中记录的所有收入金额合计是:[答案格式:1234][★★★☆☆]

分析数据库的表,发现transactions为交易数据

1.去重
select DISTINCT cat_id from transactions;
 


2.确定交易类型(在label表)
SELECT search_name FROM label WHERE label_id IN (select DISTINCT cat_id from transactions);
 


只有salary为收入,去label表里找,id为36
 


SELECT sum(amount) FROM transactions WHERE cat_id=36

279002

6. 接上题,分析该记账APP中的消费记录,统计从2022-3-1(含)到2023-12-1(含)期间,用于交通的支出费用合计是:[答案格式:1234][★★★☆☆]

SELECT SUM( transactions.amount ) FROM "transactions", categories WHERE categories.cat_id == transactions.cat_id AND categories.cat_type == 2 AND categories.cat_id == 19 AND transactions.created_date >= '2022-03-01' AND transactions.created_date <= '2023-12-01';

6042

7. 分析毛雪柳的手机检材,手机中有一个记账APP,该APP的应用名称是:[答案格式:Telegram,区分大小写][★☆☆☆☆]

在手机安装应用列表中搜索关键词cost、money、bill等关键词:
 

icost

8. 分析义言的手机检材,手机中登录的谷歌邮箱账号是:[答案格式:abc@gmail.com][★★☆☆☆]

a2238346317@163.com

9. 分析义言的手机检材,手机的MTP序列号是:[答案格式:大写字母和数字][★★☆☆☆]


如手动找需要查看检材压缩包里的文件 Pixel.zip\Basic\Adlockdown.json.

FA6A80312283

10. 分析义言的手机检材,除系统自带的浏览器外,手机中安装了一款第三方浏览器,该浏览器的应用名称是:[答案格式:百度浏览器][★★☆☆☆]

悟空浏览器

11. 接上题,上述浏览器最后一次搜索的关键字是:[答案格式:百度][★★☆☆☆]

方法1:
盘古石很多题目只有用他的软件会方便一点
 


方法2:
火眼里试试
 


 


过程类比上面第三题
Pixel.zip\data\data\com.cat.readall\databases
 


 


方法3
在\data\media\0\Android\data\com.cat.readall\files\Documents目录下的multi_windows.dat中也可以看到保存的历史记录.

ai写文章生成器

12. 接上题,该浏览器最后一次收藏的网址是:[答案格式:https://baidu.com/acc/123412341234123/][★★★☆☆]

用盘古石软件做很轻松
 


自己找有点麻烦,这里收藏的书签是按照behot_time排序.

http://toutiao.com/a7361678286282490403

13. 分析义言的手机检材,其所购买的公民信息数据,该数据提供者的手机号码是:[答案格式:13012341234][★☆☆☆☆]


这题如果用火眼只能自认倒霉了,当时找这个找了半天,结果应该是当时的软件没有分析出来,不过看其他大佬有做出来

13265159824

14. 接上题,卖家的收款地址:[答案格式:小写字母和数字][★☆☆☆☆]

上面图片里

bc1pvunxx2eytoljpzs9wp9tcrrdvssra97nnwls563hxpf3xm69zms3yak85

15. 接上题,购买上述公民信息,义言一共支付了多少钱:[答案格式:0.000123BTC][★☆☆☆☆]


可以看到交易的哈希: 4630a72ad8e7339e553cdba67a1dc7d33716a1db0cf7b44ec281ae08ac6249f8
用交易的哈希在区块链查询网站上查找以下交易信息:
比特币BTC浏览器 | 区块链浏览器 | OKLink

0.07364352 BTC

16. 接上题,该笔交易产生的手续费是多少:[答案格式:0.000123BTC][★★☆☆☆]

0.00010670 BTC

总结

这次复盘了盘古石手机部分,感觉题目偏向与后台数据库的查询。大部分题目用盘古石手机分析软件会很方便,可以说是齐安信一贯的套路了,不然就自己去数据库里找。当然以后实战会偏向于后者,不然全部机关单位都得用他的软件……
学无止境,继续加油!!!

yanke_wolf
关注
第七届“蓝帽杯”初赛取证题目超详细解析,检材可以看我的下载资源,有百度网盘的分享链接
ntrybw的博客
08-26 3795
刚刚打完比赛,准备晚上写一下wp,刚好整理一下题目,ctf的题目一般都有,取证不一定,这里还是要感谢蓝猫,大规模取证题目,让警校大大获利,更加方便晋级。
取证专栏——手机&APK&二进制
weixin_63576152的博客
09-06 2088
(5)IDA解析后的数据在伪代码界面是小端序存储的,如果看到一长串16进制数据,那么很可能是多个16进制数据合在了一起,并且顺序是反的,比如v1 = 0xE45D8CAB,真实的数据应该是v1[0] = 0xAB,v1[1] = 0x8C,v1[2] = 0x5D,v1[3] = 0xE4。①普通恶意:比如给某个路径下的文件进行字节加密,导致文件不可正常显示,这也是最经典的,对于这类恶意程序,说到底就是二进制修改,写个解密脚本就能恢复,关键就是找加密逻辑,简单的byte[i]++也有,难的密上加密也有。
2024盘古杯服务器取证wp
qq_51233573的博客
05-12 2665
由此可以判断黑客通过/Home/User/tkpwdpost.html 存在的sql注入将上传接口tmpugklv.php写到网站的根目录下 再通过上传接口将一句话木马上传。根据修改时间判断也是后续上传上去的文件 继续向前回溯 18时51分48秒的时候通过sql注入将tmpugklv.php 写道网站当中。再将sql文件导入数据分析工具当中 查看userlog表 结合受害人的聊天记录可以判断受害人第一次成功登录网站的时间为。根据导出的数据库备份文件可以看出 数据库表的前缀 think_
2024盘古取证复现
最新发布
2303_81631620的博客
03-13 1145
检材容器密码: 2b26ba7ed35d622d8ec19ad0322abc52160ddbfa支婉婷(受害人)手机报告 (手机报告.zip)义言(嫌疑人)Android 手机镜像 (Pixel.zip)Windows 计算机硬盘镜像 (PC.001)Windows 计算机内存镜像 (memdump.mem)伏季雅(嫌疑人)Android 手机备份 (Samsung.zip)Windows 计算机硬盘镜像 (PC.E01)毛雪柳(嫌疑人)
2024盘古取证比赛(APK)
m0_75236662的博客
05-26 2114
这次的apk取证题目难度中等,前面和服务器题目贴合,后面BitLocker解不解的出来决定了计算机很多题目能不能做出来。数据库查询的过程和手机取证比较像,前面使用了雷电分析软件进行apk分析,后面难点在于找到隐藏软件,并进行静态分析。幸好有相关文章指导,且文件位置,密码,数据库名称未作改动,可以较快的进行解密。总体来说,收获很大。
2024盘古初赛(服务器部分)
wwwwyyyrre的博客
05-30 1593
这次初赛就有20道服务器部分赛题,做的情况一般,错了5道题这样,主要原因就是出在第二个网站服务器没有重构起来今天来复现一下这次的服务器部分我直接用仿真仿起来就开找了先把网配置好,然后ssh连接,看看命令发现是没什么东西在的在网上访问试试发现是存在docker的,启动发现存在端口映射,是本地的8065端口访问容器内部的8065端口是一个登录界面,确定是聊天服务器了,下一步就是找用户名密码进去看看 但是在虚拟机里边没有看到mysql或者其他的数据库,猜测是在容器内部,进去看看了docker inspect 64
2023盘古杯决赛解析之移动智能终端取证
weixin_48492927的博客
06-28 922
全详细的解题步骤,决赛题会陆续放出,历年真题练习。要镜像题目的私信哦。
2024盘古杯初赛 复盘 学习记录
2301_77163694的博客
05-14 2452
通过这一次 学习到了很多 复盘主要是看大佬的wp
2024盘古取证比赛(IPA+人工智能)
m0_75236662的博客
05-28 1968
人工智能部分分为声音模型和AI换脸,在火眼中如果找到对应路径,在虚拟机中可以较容易找到答案,主要考察信息检索能力。难点在于第五题的逆向分析,要考虑如何还原换脸视频。这题感觉和ctf比赛的逆向题目流程一模一样——反编译,反混淆,修改文件头进行修复……IPA部分IPA这些题目和手机取证差不多,都是在数据库里找信息。第三题可以通过其他题目找到的信息回答。主要学习了realm数据库的查找,以及realm studio的安装和使用。又是收获满满的一天!
盘古考核取证复现检材1
m0_75178803的博客
05-03 515
题目检材2题目检材3题目。
取证 工具
lulu001128的博客
04-21 882
课外
安卓如何从图片路径中得到宽高_CTF 与取证系列 2 ——安卓手机文件分析取证题目(上)...
weixin_39706367的博客
10-30 229
题目:安卓手机文件分析取证(Wi-Fi名称)题目连接https://www.mozhe.cn/bug/detail/K1doaXNFemlxODh1QUQ1WVJyOTZRQT09bW96aGUmozhe背景介绍嫌疑人在疑似犯罪时连接过一个Wi-Fi,分析取证文件找到该Wi-Fi名。解题思路题目中提供了手机的数据文件,下载后解压,众所周知,wifi相关信息一般保存在wpa_supplic...
2022首届盘古电子数据取证比武题
lxxl666的博客
12-20 2158
找到TC加密卷使用PassWare Kit进行解密揭秘后得到unprotected文件用FTK manager打开,找到可疑文件并打开暴力破解得到压缩包密码为991314得到flag。
盘古杯”全国电子数据取证大赛----WP
m0_75178803的博客
06-05 2562
计算机取证题目来源:“盘古杯”全国电子数据取证大赛——电子数据取证技能赛计算机取证
APK取证经典例题,简单具有代表性,非常推荐新手尝试,本人也是小白,刚刚接触,给一套题目与大家分享。
ntrybw的博客
08-11 998
ok,那么案例一就这么做完了,虽然软件依赖度很高,emmm不过一般公安电子取证都是软件取出来的啊,哈哈哈,一般公司又不电子取证,当然如果在这方面有需求可以私信我,我也可以做一个根据jadx的取证。链接:https://pan.baidu.com/s/11Nh-099gUDFJPX-Tbfx05w?然后信息就暴露了,建议大家可以稍微尝试一下,玩一下。抓包不难,但是过程还是略微有点麻烦,如果不会,可以看我的博文,我会做一个教程。模拟器打开发现就是答案,不过为了科学起见,我还是给大家抓一下包。...
盘古杯电子取证比赛WP
wild_smart_cuber的博客
05-14 6922
盘古杯电子取证比赛WP
APK取证,大量经典例题加实操,非常推荐练习。(二次修改版)
ntrybw的博客
08-11 4552
uses-permission android:name="android.permission.WRITE_EXTERNAL_STORAGE"/>内置sd卡。我也是暑假里刚刚接触APK取证,觉得比pc取证有意思一点,所以把手头上的题目与大家分享,希望和大家一起进步。我给大家一个建议,一般密码数量超过5位,而且没有任何提示(比如纯数字),暴力是不可能成功的,所以老老实实去看静态。发现很多在Fiddler里面正常的代码,到010Editor就变成了问号?发送回后台服务器的数据包含以下哪些内容?...
第二届“盘古杯”全国电子数据取证大赛(全)
weixin_72667582的博客
05-12 2608
回收站里有一个密码一个账本,密码.doc是假的输错两次后会提示梭哈,尝试了各种隐写之后发现。。。真正的密码在毛雪柳的手机的图片里共有5个sheet还有一种手工方法工具下载地址:https://github.com/passer-W/FinalShell-Decoderbitlocker解开后重新跑一次取证别的忽略,,,我们校园网的包见上交易hash:4630a72ad8e7339e553cdba67a1dc7d33716a1db0cf7b44ec281ae08ac6249f8。
2024盘古杯晋级赛APK取证
01-06
### 关于2024盘古杯晋级赛中APK取证的相关信息 #### 一、初步准备 为了有效地进行APK取证工作,在开始之前需准备好必要的工具和环境。这通常包括但不限于安装Android SDK以及一些辅助性的逆向工程软件,比如Apktool用于反编译APK文件,Jadx-GUI作为图形界面版的Java字节码查看器等。 #### 二、获取并解析目标APK 对于参赛者来说,获得官方提供的比赛样本是非常重要的一步。一旦得到了待分析的应用包(APK),可以利用上述提到的工具对其进行静态分析。例如,使用`apktool d your-app.apk`命令来提取资源文件与配置清单等内容[^1]。 ```bash apktool d your-app.apk -o output_folder/ ``` 此过程能够帮助理解应用程序内部结构及其可能存在的恶意行为模式。 #### 三、动态调试与监控网络流量 除了静态方法外,还可以采用更深入的方式——即通过设置虚拟设备或真实手机配合ADB(A ndroid Debug Bridge)来进行实时跟踪操作。这样不仅可以观察到运行期间产生的日志信息,还能捕获所有进出该APP的数据流,这对于发现潜在的安全漏洞至关重要[^2]。 #### 四、查找敏感数据存储位置 根据以往经验分享中的提示,某些关键证据可能会被储存在特定路径下的XML或其他格式文档内。因此建议重点检查类似`/data/data/package_name/shared_prefs/*.*`这样的目录下是否有可疑条目,特别是那些涉及账户认证凭证的地方[^4]。 #### 五、综合研判形成结论报告 最后阶段则是整理前面所收集的一切线索,并尝试还原整个事件发生的经过。撰写一份详尽的技术说明文档,清晰指出每一个环节的具体情况及依据所在,从而完成最终的任务提交。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值