2025獬豸杯WP—手机+计算机

检材链接：百度网盘 请输入提取码

容器密码：}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E

签到题

分别给主办的三个公众号发flag即可

手机取证

1.登录的直播APP的IDX是什么？[标准格式：25236541]
2.目前直播的等级名称是什么？[标准格式：碌碌无为]
3.地图中哪座山有绝望坡？[标准格式：太行山]
4.手机的历史SIM卡中，中国电信卡的IMSI是多少？[标准格式：123456789]
5.1月22日16：40的会议号是多少？[标准格式：xxx-xxx-xxx]
6.网易会议中个人会议号是多少？[标准格式：2523654199]
7.记账软件中一共记了几笔？[标准格式：9]
8.谁给了机主100000？[标准格式：某某]
9.聊天软件是否需要手机号登录？[标准格式：填写是或者否]
10.机主的给对方的活有多少钱？[标准格式：53100]
11.机主的手机号是多少？[标准格式：13652492155]
12.手机的IMEI1后四位是多少？[标准格式：2536]
13.手机上一共有几个地图软件？[标准格式：9]

登录的直播APP的IDX是什么？[标准格式：25236541]

方法一：

直播软件为“烟雨直播”，直接定位数据库miao.db，翻找到id信息

方法二：

可以在安卓分析界面勾选图片文本识别——这个功能非常好用

搜索关键词可以定位到直播截图的图片

35248617

目前直播的等级名称是什么？[标准格式：碌碌无为]

方法一：上一题有显示

方法二：

在模拟器里安装apk，用手机注册之后在个人中心可以看到level1是“一无所有”

一无所有

地图中哪座山有绝望坡？[标准格式：太行山]

方法一：

通过图片文本识别定位

方法二：

火眼全局搜索关键词“绝望坡”也可以找到shared_prefs目录

所在位置也是“白马地图”的文件夹

小技巧：

直接搜索或问AI即可

武功山

手机的历史SIM卡中，中国电信卡的IMSI是多少？[标准格式：123456789]

1月22日16：40的会议号是多少？[标准格式：xxx-xxx-xxx]

方法一：搜索关键词“会议”，找到会议信息

方法二：

爆搜也可以，搜索“会议”，找到存储信息的文件——FlutterSharedPreferences.xml

方法三：其他师傅提供思路，即还原apk——将apk导出来，装到模拟器里面，将data文件覆盖进去，然后就能看见历史的会议号

2679823922

网易会议中个人会议号是多少？[标准格式：2523654199]

方法一：搜索关键词“会议号”

方法二：爆搜定位

记账软件中一共记了几笔？[标准格式：9]

方法一：

即模拟器安装+数据替换——apk仿真

导出包文件，并将包文件夹移动至模拟器共享文件夹下，点开模拟器即可显示

模拟器文件管理工具找到软件位置，再替换

/data/user/0/com.csmountainaccount.easy

方法二：图片文本识别

方法三：定位软件数据库

4

谁给了机主100000？[标准格式：某某]

上面一题有显示——勇哥

勇哥

聊天软件是否需要手机号登录？[标准格式：填写是或者否]

导出安装一下，发现不需要手机号登录

否

机主的给对方的活有多少钱？[标准格式：53100]

定位数据库

30000

机主的手机号是多少？[标准格式：13652492155]

之前的会议题目有记录

17751125237

手机的IMEI1后四位是多少？[标准格式：2536]

1055

手机上一共有几个地图软件？[标准格式：9]

3

计算机取证

1.网卡的Mac地址是多少？[标准格式：XX-XX-XX-XX-XX-XX]
2.系统内部版本号是多少？[标准格式：12345]
3.计算机系统开机密码是多少？[标准格式：根据实际值填写]
4.分析计算机检材中手机流量包，请问黑客虚拟身份的密码是什么？[标准格式：x123]
5.分析计算机检材中手机流量包，请问黑客人员使用的夜神模拟器的手机型号是什么？[标准格式：XX-X123X]
6.分析计算机检材中手机流量包，请问黑客看视频的时间是几月份？[标准格式：1]
7.分析计算机检材中手机流量包，请问“天戮宇宙”出自哪个小说平台？[标准格式：番茄小说网]
8.请问在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]
9.接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]
10.signed_xz.exe程序SHA1后6位是多少？[标准格式：524c62]
11.signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少？[标准格式：0c6875c2]
12.signed_xz.exe程序中节名为.reloc的虚拟地址是多少？[标准格式：0c526n5624]
13.请分析检材中澳门新葡京APK其包名是？[标准格式：com.abcd.xxx]
14.请分析检材中澳门新葡京APK是否加固，加固则说明是什么加固？[标准格式：360加固宝或未加固]
15.请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据，则该权限的名称是？[标准格式：android.xx.xxx]
16.请分析检材中澳门新葡京APK登录的api地址。[标准格式：https://www.baidu.com/api/login]
17.请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是？[标准格式：123456790]
18.请分析Navicat中root用户的密码是什么？[标准格式：@123Aa]

网卡的Mac地址是多少？[标准格式：XX-XX-XX-XX-XX-XX]

00-0C-29-BF-8B-30

系统内部版本号是多少？[标准格式：12345]

18363

计算机系统开机密码是多少？[标准格式：根据实际值填写]

WAXD9128@

分析计算机检材中手机流量包，请问黑客虚拟身份的密码是什么？[标准格式：x123]

一般来说，取证题目都会在document文件夹下有题目，然后这次看见了一个夜神模拟器的备份文件，还有一个不知名后缀的dididi.saz文件之外没有东西，然后去搜了一下，发现需要用fiddler打开

搜索关键词“password”

a12345678

分析计算机检材中手机流量包，请问黑客人员使用的夜神模拟器的手机型号是什么？[标准格式：XX-X123X]

仿真桌面的夜神模拟器打开即可看到默认型号（有点蒙的成分）

也可以火眼找一找

fiddler查找

SM-G955N

分析计算机检材中手机流量包，请问黑客看视频的时间是几月份？[标准格式：1]

搜索video

5

7.分析计算机检材中手机流量包，请问“天戮宇宙”出自哪个小说平台？[标准格式：番茄小说网]

直接搜索可以找到

搜索book找到图片流量包

请问在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]

刚才找流量包的时候，其实就看见了夜神模拟器的备份文件。恢复一下备份，打开（需要开启虚拟化）

导入夜神模拟器发现手机被锁

导出夜神模拟器备份文件，将后缀改为zip解压

把nox-disk2.vmdk放火眼里分析，确定勒索软件

340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]

导出，用雷电的jadx分析一下，全局搜索

anzhuo.com

signed_xz.exe程序SHA1后6位是多少？[标准格式：524c62]

在火眼里找到类似名称的exe，后面验证是同一个文件

signed_xz.exe原本的文件要通过挂载备份才能看到

使用文件挂载一下

最后导出计算一下SHA1

8955b1

signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少？[标准格式：0c6875c2]

11和12是分析exe文件

放ida里查找函数名

0x4393c0

signed_xz.exe程序中节名为.reloc的虚拟地址是多少？[标准格式：0c526n5624]

问一问DeepSeek怎么做

常见的PE分析工具包括PE Viewer、PE Explorer、CFF Explorer，还有像objdump这样的命令行工具。另外，像IDA Pro这样的反汇编工具也能查看节信息，但可能对于普通用户来说，免费或更易获取的工具更合适。

打开CFF软件，查看节表
左侧导航栏展开 NT Headers > Section Headers，右侧会列出所有节的信息。

请分析检材中澳门新葡京APK其包名是？[标准格式：com.abcd.xxx]

com.suijideszzuiji.cocosandroid

请分析检材中澳门新葡京APK是否加固，加固则说明是什么加固？[标准格式：360加固宝或未加固]

导出可以放雷电分析里查看是否加固

未加固

请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据，则该权限的名称是？[标准格式：android.xx.xxx]

android.permission.WRITE_EXTERNAL_STORAGE

请分析检材中澳门新葡京APK登录的api地址。[标准格式：https://www.baidu.com/api/login]

雷电可以动态分析apk，进行抓包

先打开apk，再启动http抓包

这里我不知道为什么抓不到答案的网址，贴一张其他师傅的图

另外抓包的方法很多，比如在模拟器里安装抓包软件（小黄鸟），也可以改代理，将流量导入抓包软件（BP/Fiddler）

https://168js.bvocftd.com/ky188/member/memberManager/login

请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是？[标准格式：123456790]

jadx打开apk，全局搜索“qq”

tips：使用正则查找更快

(?=.id)(?=.qq).*

1108221663

请分析Navicat中root用户的密码是什么？[标准格式：@123Aa]

(=3]Zwjt#W

复盘总结

手机部分学到了两个技巧——apk仿真和图片文本识别，这两种方法相较于翻找原始数据库更加便捷高效。计算机里流量和以往不同，需要使用fiddler查看，另外还有exe分析和apk分析，难度适中，个人感觉apk题目可以并到手机里。

比赛感受

这次獬豸杯和上一届相比难度和题量更大，线上参赛且面向大众报名的方式能够让更多的人接触到取证。而且这次主办方都是取证爱好者，赛前宣发和交流群沟通也让更多的参赛选手感受到主办方所花心思之多。但是事与愿违，线上比赛和抄袭捆绑在了一起，CTF比赛的陋习也侵染了这次比赛。此次比赛时间是1:00-5:00，本人前期排名前10，但是4:00到5:00的时间段可以说是“顿悟时刻”，排名直线下降。我实在是不想做了，一小时还不如做其他更有意义的事情。

如图所示，直线上升的选手真的是取证届的“精英人才”，能3分钟做20题的更是万里挑一了。

抄袭就算了，卖答案属实让我没想到。某些选手某鱼标价50包拿奖，真的牛，无话可说。后面主办方对各个选手的WP做了筛选，图片相似度极高的直接剔除，这里给你们点一个赞，虽然不能一网打尽，但是那几个产业链化的“瘤子”赶紧滚蛋。

谁都希望取证比赛风清气正，抄袭得来的奖项还不如提升自己能力来得实在，这些话肯定会引起一些人的不满，因为触及到了他们的利益，我只能说做好自己，规则和技术的加持会让他们无处遁形。