手机取证_1
根据题目要求搜索627604C2-C586-48C1-AA16-FF33C3022159.PNG
可得到图片,右键图片导出可得到图片分辨率为360x360
flag: 360x360
手机取证_2
搜索 “单号”
可以看到和姜总的聊天记录
flag: SF1142358694796
计算机取证_1
先用imageinfo查出镜像版本信息为Win7SP1x64
获取system的virtual地址和SAM 的 virtual 地址
dump出taqi7密码的hash值
解下md5
flag: anxinqi
计算机取证_2
pslist查看进程的pid
可以看到MagnetRAMCaptu的PID为2192
flag: 2192
程序分析_1
使用aapt导出
程序包名
flag: exec.azj.kny.d.c
程序分析_2
还是使用aapt导出
程序入口
flag: minmtta.hemjcbm.ahibyws.MainActivity
程序分析_3
使用jadx反编译一下
在MainActivity包里找到加密后的服务器地址的密文
解出来可以看到是服务器地址
flag: aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6
网站取证_1
使用D盾扫出后门地址
后门密码
flag: lanmaobei666
网站取证_2
代码小改一下,然后跑一下
flag: KBLT123
网站取证_3
搜索一下key, 在application\admin\controller 目录下的 Channelorder.php 里
flag: jyzg123456