前言
本文是2022蓝帽杯初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章
手机取证_1&2
题目描述:
现对一个苹果手机进行取证,请您对以下问题进行分析解答。
1.627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是?(答案参考格式:1920x1080)
2.姜总的快递单号是多少?(答案参考格式:abcABC123)
下载附件,解压
解压的文件夹里有一个名为 苹果测试查看.exe 的应用程序
打开苹果测试查看.exe,在搜索栏中搜索 627604C2-C586-48C1-AA16-FF33C3022159.PNG ,将得到的图片导出
查看导出图片的属性,得到分辨率为360×360
再次从搜索栏里搜索关键字 姜 ,在Skype下的组群聊天中,找到姜总的快递单号
姜总的快递单号为SF1142358694796
程序分析_1&2&3
题目描述:
现已获取某个APP程序,请您对以下问题进行分析解答。1.本程序包名是?(答案参考格式:abc.xx.de)
2.本程序的入口是?(答案参考格式:abc.xx.de)
3.本程序的服务器地址的密文是?(答案参考格式:abcABC123)
4.本程序实现安全检测的类的名称是?(答案参考格式:abcABC123)
下载附件,解压得到一个apk程序
使用在线网站摸瓜(www.mogua.co),上传apk,得到解析结果
得到该程序的包名 exec.azj.kny.d.c和该程序的入口 minmtta.hemjcbm.ahibyws.MainActivity
将apk程序拖入 jadx-gui-1.3.3.exe
找到该程序的服务器地址的密文为aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6
计算机取证_2&3&4
题目描述:
现对一个windows计算机进行取证,请您对以下问题进行分析解答。
1.从内存镜像中获得taqi7的开机密码是多少?(答案参考格式:abcABC123)2.制作该内存镜像的进程Pid号是多少?(答案参考格式:1024)
3.bitlokcer分区某office文件中存在的flag值为?(答案参考格式:flag{abcABC123})
4.TrueCrypt加密中存在的flag值为?(答案参考格式:flag{abcABC123})
下载附件,解压得到一个dmp文件,一个E01文件
使用取证大师自带的 内存镜像解析工具 解析 1.dmp ,得到一个TrueCrypt密钥文件和一个BitLocker密钥文件
分别导出
再使用内存镜像解析工具解析1.dmp,发现制作镜像的进程MagnetRAMCaptu
得到PID:2192
使用取证大师打开G.E01,发现分区1是BitLocker加密,正好用到上面得到的密钥
自动取证,得到新建文本文档.txt(这个第四步会用到)、pass.txt、我天.docx和从渗透看取证.pptx
使用aopr爆破得到的word文档和ppt文档(字典爆破,字典是pass.txt)
得到pptx文档的密码是287fuweiuhfiute,打开得到flag{b27867b66866866686866883bb43536}
接着查看新建文本文档.txt的属性,发现这个文件出奇的大,猜测这不是一个txt文件
结合题目说的“TrueCrypt加密”,猜测这个文件正确的后缀应该是hc
将文件后缀改为hc,使用取证大师取证修改完后缀的文件(密钥就是前面得到的TrueCrypt密钥)
自动取证,得到一个被加密的压缩包哈哈哈.zip
使用ARCHPR爆破,得到密码为991314
得到flag{1349934913913991394cacacacacacc}
2607
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
