哪里有问题,请及时提醒答案以官方为准
邮箱投送
容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr
链接:https://pan.baidu.com/s/11W3KTP5RveWJkApmDGYuKQ?pwd=f9hj
提取码:f9hj Android程序分析
1、涉案应用刷刷樂的签名序列号是[答案:123ca12a][★☆☆☆☆]
答案:11fcf899
2、涉案应用刷刷樂是否包含读取短信权限[答案:是/否][★★☆☆☆]
答案:否
3、涉案应用刷刷樂打包封装的调证ID值是[答案:123ca12a][★★☆☆☆]
答案:a6021386163125
因为工具过期了,用一下 XiAnG的图
4、涉案应用刷刷樂服务器地址域名是[答案:axa.baidun.com][★★★☆☆]
答案:vip.shuadan.com
因为工具过期了,用一下 XiAnG的图
5、涉案应用刷刷樂是否存在录音行为[答案:是/否][★★★☆☆]
答案:是
基本信息-安全检测-恶意行为报告
因为工具过期了,用一下 XiAnG的图
6、涉案应用未来资产的包名是[答案:axa.baidun.com][★☆☆☆☆]
答案:plus.h5ce4b30d
7、涉案应用未来资产的语音识别服务的调证key值是[答案:1ca2jc][★★☆☆☆]
答案:53feacdd
8、涉案应用未来资产的服务器地址域名是[答案:axa.baidun.com][★★★☆☆]
答案:vip.usdtre.club
因为工具过期了,用一下X的图
9、涉案应用未来资产的打包封装的调证ID值是是[答案:axa.baidun.com][★★☆☆☆]
答案:h5ce4b30d
因为工具过期了,用一下X的图
移动智能终端
1、根据容恨寒的安卓手机分析,手机的蓝牙物理地址是[答案:B9:8B:35:8B:03:52][★☆☆☆☆]
答案:A9:8B:34:8B:04:50
2、根据容恨寒的安卓手机分析,SIM卡的ICCID是[答案:80891103212348510720][★☆☆☆☆]
答案:89014103211118510720
3、根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是[答案:微信][★☆☆☆☆]
答案:Potato
不要被误导了注意是内部沟通,不是微信,在找到Potato
4、根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是[答案:好的][★★★☆☆]
答案:后面再给你们搞
在工具里面提取出来出现文件为空,所以在平台找到了包名在提取出来在databases(数据)
在/data/data/com.qim.imm/databases/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db
导出后用Navicat打开,找到一个表
查询的时候容易出现问题注意
SELECT SENDERNAME,TONAME,SUBJECT,DATE,BODY FROM “BAProvider$j” WHERE TONAME=‘容恨寒’ ORDER BY DATE DESC LIMIT 1筛选出最后一条发送给容恨寒的消息
解base64
5、根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是[答案:202cb962ac59075b964b07152d234b70][★★☆☆☆]
答案:DC52D8225FD328C592841CB1C3CD1761
直接搜出来刷单.rar后得到文件目录后到出来使用hasher计算
6、根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是[答案:abcdg@1234@hd][★★★☆☆]
答案:wlzhg@3903@xn
在数据库里面发现密码的信息后直接用python脚本爆破
密码规则:
前五位:wlzhg
末尾两位:片区简写“xn”
中间四位:0-9随机数组合
参考wlzhg@xxx@xn
7、根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是[答案:15137321234][★★★★☆]
答案:18969939616
根据前面密码规则那条信息,OWNERNAME为容恨寒
9、根据容恨寒的安卓手机分析,MAC的开机密码是[答案:asdcz][★☆☆☆☆]
答案:apple
记事本里面直接找到
10、根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是[答案:1234][★☆☆☆☆]
答案:1976
记事本里面直接找到
11、根据魏文茵苹果手机分析,IMEI号是?[答案格式:239471000325479][★☆☆☆☆]
答案:358360063200634
报告这里直接找到
12、根据魏文茵苹果手机分析,可能使用过的电话号码不包括?[答案格式:A][★☆☆☆☆]
答案:D
一个一个搜搜就可以了
A、18043618705 B、19212175391 C、19212159177 D、18200532661
13、根据臧觅风的安卓手机分析,微信ID是[答案:wxid_av7b3jbaaht123][★☆☆☆☆]
答案:wxid_kr7b3jbooht322
14、根据臧觅风的安卓手机分析,在哪里使用过交友软件[答案:杭州][★★★☆☆]
答案:西安
看到交友软件肯定是探探啊
15、根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号[答案:1234524229][★☆☆☆☆]
答案:5768224669
16、根据臧觅风的安卓手机分析,购买源码花了多少BTC?[答案:1.21][★☆☆☆☆]
答案:0.08
17、根据臧觅风的安卓手机分析,接收源码的邮箱是[答案:asdasd666@hotmail.com][★☆☆☆☆]
答案:molihuacha007@hotmail.com
18、嫌疑人容恨寒苹果手机的IMEI是?[★★☆☆☆]
答案:353271073008914
检材出了问题凑合着看
19、嫌疑人容恨寒苹果手机最后备份时间是?[答案格式:2000-01-01 13:36:25][★★☆☆☆]
答案:2023-04-12 21:20:59
检材出了问题凑合着看
20、嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?[★★★★☆]
答案:ec677dda-3387-4337-9b44-f7daae4fb29c
检材出了问题凑合着看
21、嫌疑人容恨寒苹果手机微信ID是?[★☆☆☆☆]
答案:wxid_peshwv0rosih12
检材出了问题凑合着看
计算机取证
1、嫌疑人魏文茵计算机的操作系统版本?[答案格式:Windows 7 Ultimate 8603][★☆☆☆☆]
答案:Windows 10 Professional 14393
注意审题 什么系统加版本号英文
2、嫌疑人魏文茵计算机默认的浏览器是?[答案格式:A][★☆☆☆☆]
答案: C
仿真出来看
A、Edge B、Internet Explorer C、Google Chrome D、360浏览器
3、嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?[答案格式:A][★☆☆☆☆]
答案:A、
一个一个搜就可以了
A、掠夺攻略 B、工资表.xlsx C、刷单秘籍.docx D、脚本.docx
4、嫌疑人魏文茵计算机中存在几个加密分区?[答案格式:3个][★★☆☆☆]
答案:1个
因为之前仿真出来了所以直接看发现是 BitLocker
5、嫌疑人魏文茵计算机中安装了哪个第三方加密容器?[答案格式:VeraCrypt]][★☆☆☆☆]
TrueCrypt
6、接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?[答案格式:C:\xxx\xxx][★★☆☆☆]
答案:C:\Users\WH\Documents、
这里注意格式问题
7、嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?[答案格式: 000000-000000-000000-000000-000000-000000-000000-000000]][★★★☆☆]
答案:000649-583407-395868-441210-589776-038698-479083-651618
取证大师中对D盘进行卷影分析,原始数据搜索恢复密钥 注意在导入检材的时候已经提醒你使用卷影分析了
注意这个不是密码这是标识符
8、嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?[答案格式:11][★☆☆☆☆]
答案:38
仿真出来的系统里面解密了D盘在里面找到
9、投资理财团伙“华中组”目前诈骗收益大约多少?[答案格式:10万][★★☆☆☆]
可以翻看那两个源码还有数据库
10、通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?[答案格式:123][★★☆☆☆]
答案:728
11、根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★☆☆☆☆]
答案:239F39E353358584691790DDA5FF49BAA07CFDBB
12、根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?[答案格式:100,000,000][★★☆☆☆]
答案:536,870,912
13、根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?[答案格式:A][★☆☆☆☆]
答案:D
A、WeChatSetup.exea B、Drive.exe C、Potato_Desktop2.37.zip D、BaiduNetdisk_7.27.0.5.exe
14、根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?[答案格式:abc123][★★★★★]
答案:kangshifu0008
在之前就发现了他购买的源码那么他是通过邮箱发送的了密码就是他的邮箱,那么通过之前仿真出来的系统邮箱软件里面发现目标,为了确定密码正确就下载出来在验证也可以
15、根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?[答案格式:22][★★☆☆☆]
答案:2282
在仿真出来的系统里面发现SecureCRT打开他找到记录
16、根据臧觅风的计算机分析,接上题,请给出服务器的密码?[答案格式:password[★★★★☆]
答案:P@ssw0rd
在文件这里搜xls或者docx这些文档找到
17、根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值?[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★★★★★]
答案:C1934045C3348EA1BA618279AAC38C67
在这两个文件都是一样的
18、根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?[答案格式:A][★☆☆☆☆]
答案:F
19、根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?[答案格式:password12#][★★★★☆]
答案:xiaozang123!@#
具
软件elcomsoft forensic disk decryptor第一次使用这个
20、根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?[答案格式:xxx][★★☆☆☆]
答案:后羿采集器
在邮箱这里看到,在工具里面也可以找到使用记录
21、根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?[答案格式:10,000][★★★★★]
答案:19,225
在这里可以看到文件是后羿采集器,在臧觅风里面找不到在哪各个查因为爬取的数据肯定是xlsx这些文件
直接导出来看
22、根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?[答案格式:A][★☆☆☆☆]
答案:C
A、中国证券投资基金业协人员信息B、仓山区市场监督管理局行政执法人员信息
C、清平镇卫生院基本公共卫生服务 D、仓山区市场监督管理局行政执法人员信息
因为软件问题所以导出来看了
24、根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?[答案格式:2211][★★☆☆☆]
答案:7890
这里发现代理工具
25、根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?[答案格式:abc1234df334…][★★☆☆☆]
答案:d4029286acc8bfd97818d5f8724f0f0a
26、根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?[答案格式:www.baidu.com:1122][★★★☆☆]
答案:im.pgscup.com:6661
仿真出来看到Potato
在容恨寒的安卓手机分析的时候就发现他使用这个进行交流
27、根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?[答案格式:2023-05-06 14:00:00][★☆☆☆☆]
答案:2023-04-27 17:57:53
其实使用这个工具来看也可以看到但是没搞懂这个软件怎么使用
28、根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?[答案格式:A][★★★★ ☆]
答案:B
A、ntdll.dll B、iertutil.dll C、wow64cpu.dll D、wow64win.dll
还是一样这个直接看
29、根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少?[答案格式:0xxxxx123…][★★☆☆☆]
答案:0xab861963e000
30、根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)?[答案格式:2023-05-06 14:00:00][★★★★☆]
答案:2023-04-27 17:55:32
注意是docx 不是doc
31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?[答案格式:C:\xxx\xxx]
答案:D:\backup\mydata
如上题
32.嫌疑人容恨寒苹果电脑的系统版本名称是?[答案格式:注意大小写]
答案:macOS12.6
33.嫌疑人容恨寒苹果电脑操作系统安装日期是?[答案格式:2000-01-01]
答案:2022-10-09 13:11:30
34.嫌疑人容恨寒苹果电脑的内核版本是?[答案格式:xxxxx 11.0.4,注意大小写]
答案:Darwin Kernel Version 21.6.0
35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?[答案格式:20]
不可参考这里讲的是在他运行过的程序来看
36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?[答案格式:2000-01-01 01:00:09]
答案:2023-04-14 15:55:50 +08
37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?[答案格式:20]
答案:15
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?[答案格式:20]
在仿真出来后桌面有这个文件提取出来爆破
39、从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?[答案格式:8小时][★★★★☆]
答案:2.5小时
40、从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?[答案格式:xxx@xxx.xx][★★★★☆]
答案:IxCnq3@yDp.net
42、通过分析得出嫌疑人容恨寒小孩的年龄是?[答案格式:10岁][★★★☆☆]
答案:13岁/14岁
二进制分析
本人不懂二进制所以使用X的图
1、根据魏文茵的计算机分析,恶意程序加了什么类型的壳[答案:asdcz][★★☆☆☆]
答案:upx
2、根据魏文茵的计算机分析,恶意程序调用了几个dll[答案:1][★★★☆☆]
答案:5
3、根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用[答案:1][★★★☆☆]
答案:6
4、根据魏文茵的计算机分析,恶意程序远控端ip[答案:120.1.2.3][★★☆☆☆]
答案:192.168.8.110
5、根据魏文茵的计算机分析,恶意程序远控端端口[答案:123][★★☆☆☆]
答案:6069
AI分析_main_0
6、根据魏文茵的计算机分析,恶意程序用到是tcp还是udp[★★★☆☆]
答案:A、tcp
B、udp
7、根据魏文茵的计算机分析,恶意程序能执行几条命令[答案:123][★★★★☆]
答案:5
8、根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令[答案:1a][★★★☆☆]
答案:6s
9、根据魏文茵的计算机分析,恶意程序加密哪些后缀文件[★★★☆☆]
答案: A、docx B、xlsx C、pdf D、doc
10、根据魏文茵的计算机分析,编写该程序电脑的用户名是[答案:12345][★★★★★]
答案:22383
11、嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:[答案格式:12345]][★★★★★]
答案:44300
程序加密方式为每个字节+1,用Python脚本解密
暗网取证
1、臧觅风电脑使用暗网浏览器版本是?[答案格式:10.0.0][★☆☆☆☆]
答案:12.0.4
在之前臧觅风电脑里面发现过一个加密容器,在解密出来后查看盘里面的内容发现这是一个密码管理的工具里面发现另一个密码,在标题写到TC很明显这是一个TC加密容器密码
我这里使用vc挂用这个的使用打开tc模式
直接打开找到版本
2、臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?[答案格式:制作][★★☆☆☆]
答案:比特币市场
3、臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?[答案格式:2000-01-01 01:00:09][★★★★☆]
答案:2022-05-27 21:49:33 +08
4、臧觅风电脑使用的暗网浏览器第一次使用时间是?[答案格式:2000-01-01 01:00:09][★★★☆☆] 2023-04-答案:12 10:21:12 +08
5、臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?[答案格式:字母小写][★★★★★]
答案:EA86403D1DE3089B3D32FE5706D552F6
在Tor这里输入about:support这个代表显示 配置项查看 在打开后找到extensions直接解压
物联取证
1、请给出该软路由管理的IP地址?[答案格式:192.168.1.1][★☆☆☆☆]
答案:192.168.8.20
直接仿真出来vi /etc/config/network 配置好网络互连上,不配置好你做不了题
2、请给出该软路由管理员的密码?[答案格式:admin123!@#][★★★☆☆]
答案:P@ssw0rd
臧觅风电脑里找到过就不去截图了名字叫账户信息.docx
ip问题是因为我改成我的
3、请给出阿里云WebDAV的token?[答案格式:bac123sasdew3212…][★★☆☆☆]
答案:afc455bdc29a45b18f3bae5048971e76
4、请给出该软路由所用机场订阅的token?[答案格式:bac123sasdew3212…][★★☆☆☆]
答案:502f6affe3c7deb071d65fb43effc06d
5、请给出该软路由数据卷的UUID?[答案格式:8adn28hd-00c0c0c0…][★★☆☆☆]
答案:9a89a5ec-dae6-488a-84bf-80a67388ff37
blkid,找到label=“data”
6、请给出该软路由的共享路径?[答案格式:/home/data][★★☆☆☆]
答案:/mnt/data
命令cat /etc/samba/smb.conf 这里其实在网站里面就可以看到共享
服务器取证
这里不要被误导了,这里还是物联网的镜像开始,系统文件不是服务器那个文件夹的镜像 密码是admin/admin
rclone那里有 在/mnt/data/IM找到Windows Server虚拟机文件
这里有一个加密系统密码是 123w.pgscup.com 进去的密码 P@ssw0rd
注意这里密码的细节就不搞了
https://blog.csdn.net/Grignard_/article/details/130592473
1.请给出IM服务器的当前Build版本?(答案格式:11111)(★☆☆☆☆)
答案:17763
2.请给出IM聊天服务的启动密码?(答案格式:3w.Baidu.com)(★★★★★) 123w.pgscup.com
答案:123w.pgscup.com
3.请给出该聊天服务器所用的PHP版本?(答案格式:7.2.5)(★★★★☆) 7.4.32
答案:7.4.32
得知路径
4.请给出该服务器所用的数据库类型及版本?(答案格式:mysql 5.7.1)(★★★★★) mariadb 10.4.12
答案:mariadb 10.4.12
这里找不到mysql就直接上Everything
5、请给出该服务器MySQL数据库root账号的密码?[答案格式:3w.baidu.com][★★★★★]
答案:www.upsoft01.com
这里找配置文件/im_webserver/htdocs/Application/Common/Conf目录找到config.php
6、请给该IM服务器内当前企业所使用的数据库?[答案格式:admin_admin][★★★★☆]
答案:antdbms_ustdreclub
在保存mysql.exe路径里面使用mysql - u root -p 连接数据库,前提条件在启动数据库cmd的start
连接mysql改登录密码
7、请给出该组织“usdtreclub”内共有多少个部门(不含分区)?[答案格式:1][★★★☆☆]
答案:5
这里改密码替换md5值 e10adc3949ba59abbe56e057f20f883e 这是123456
8、客户端消息传输采用哪种加密形式?[答案格式:A][★★☆☆☆]
答案:B
A、AES128
B、AES256
C、DES
D、Base64
9、以下那个不是此系统提供的应用?[答案格式:A][★★☆☆☆]
答案:d
A、云盘
B、审批
C、会议
D、考勤
10、请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?[答案格式:08-AA-33-DF-1A][★★★☆☆]
答案:80-B6-55-EF-90-8E
看好这里是几月
11、请给出用户“卢正文”的手机号码?[答案格式:13888888888][★★★★☆]
答案:13580912153
集群服务器取证
目录
这里我就不写了因为太麻烦了去参考这位师傅的
参考师傅wp
https://blog.csdn.net/Grignard_/article/details/130592473
3303
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
