2022年第四届长安杯电子取证竞赛-exe部分

最新推荐文章于 2024-07-23 14:36:35 发布
最新推荐文章于 2024-07-23 14:36:35 发布
阅读量621 收藏 1
点赞数 2
分类专栏: 比赛 文章标签: python windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57640498/article/details/127636700
版权

exe分析

分析所有掌握的检材,找到勒索邮件中被加密的文档和对应的加/解密程序,并回答下列问题
41. 分析加密程序,编译该加密程序使用的语言是

在这里插入图片描述

python
42. 分析加密程序,它会加密哪些扩展名的文件?

pyinstaller逆向

python3.10.8报warning了,后面改用了python3.6.8

在这里插入图片描述

才发现上面python版本好像报warning了,换了python3.6.8

在这里插入图片描述

在解析生成的encrypt_file.exe_extracted目录中的PYZ-00.pyz_extracted目录随便找一个.pyc文件复制前12字节16进制到encrypt_file_1前面

在这里插入图片描述

在这里插入图片描述

修改后缀为.pyc

在这里插入图片描述

在这里插入图片描述

PS C:\Users\12827\Desktop> uncompyle6.exe -o C:\Users\12827\Desktop\encrypt_file.py C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc
C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc --
# Successfully decompiled filexxxxxxxxxx C:\Users\12827\AppData\Local\Packages\PythonSoftwareFoundation.Python.3.10_qbz5n2kfra8p0\LocalCache\local-packages\Python310\Scripts> PS C:\Users\12827\Desktop> uncompyle6.exe -o C:\Users\12827\Desktop\encrypt_file.py C:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pycC:\Users\12827\Desktop\22CACUP\encrypt_file.exe_extracted\encrypt_file_1.pyc --# Successfully decompiled file

查看py文件

if '.txt' == ExtensionPath or '.jpg' == ExtensionPath or '.xls' == ExtensionPath or '.docx' == ExtensionPath:
    time.sleep(3)
    data_file = os.path.join(filepath, filename)
    rsakey = RSA.import_key(pubkey)
    cipher = Cipher_pkcs1_v1_5.new(rsakey)
    xor_key = os.urandom(16)
    xor_obj = XORCBC(xor_key)
    outf = open(data_file + '_encrypted', 'wb')
    encrypted_xor_key = cipher.encrypt(xor_key)
    outf.write(encrypted_xor_key)
    buffer_size = 4096
    with open(data_file, 'rb') as (f):
      while True:
        data = f.read(buffer_size)
        if not data:
          break
            outf.write(xor_obj.encrypt(data))

txt、jpg、xls、docx
43. 分析加密程序,是通过什么算法对文件进行加密的?
class XORCBC:

    def __init__(self, key: bytes):
        self.key = bytearray(key)
        self.cur = 0

    def encrypt(self, data: bytes) -> bytes:
        data = bytearray(data)
        for i in range(len(data)):
            tmp = data[i]
            data[i] ^= self.key[self.cur]
            self.key[self.cur] = tmp
            self.cur = (self.cur + 1) % len(self.key)

        return bytes(data)

XOR
44. 分析加密程序,其使用的非对称加密方式公钥后5位为?
pubkey = '-----BEGIN PUBLIC KEY-----\nMIIBIzANBgkqhkiG9w0BAQEFAAOCARAAMIIBCwKCAQEAx5JF4elVDBaakgGeDSxI\nCO1LyyZ6B2TgR4DNYiQoB1zAyWPDwektaCfnvNeHURBrw++HvbuNMoQNdOJNZZVo\nbHVZh+rCI4MwAh+EBFUeT8Dzja4ZlU9E7jufm69TQS0PSseIiU/4Byd2i9BvIbRn\nHLFZvi/VXphGeW0qVeHkQ3Ll6hJ2fUGhTsuGLc1XXHfiZ4RbJY/AMnjYPy9CaYzi\nSOT4PCf/O12Kuu9ZklsIAihRPl10SmM4IRnVhZYYpXedAyTcYCuUiI4c37F5GAhz\nRDFn9IQ6YQRjlLjuOX8WB6H4NbnKX/kd0GsQP3Zbogazj/z7OM0Y3rv3T8mtF6/I\nkwIEHoau+w==\n-----END PUBLIC KEY-----\n'

u+w==
45. 被加密文档中,FLAG1的值是(FLAG为8位字符串,如“FLAG9:QWERT123”)

使用同样的方法逆向decrypt_file.exe

在这里插入图片描述

使用密码解密

在这里插入图片描述

在这里插入图片描述

TREFWGFS
p1ant731
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
2022长安杯wp
SDPCTRM的博客
11-03 4620
2022第四届长安杯电子数据取证竞赛解题报告,50题全部wp,感谢火眼。
美亚杯全国2018第四届电子数据取证竞赛-个人
05-02
美亚杯全国2018第四届电子数据取证竞赛-个人 电子取证竞赛是测试电子取证专业人员的技能和技术的竞赛,本竞赛旨在提高电子取证技术的应用和普及。 本竞赛包括了多个题目,涵盖了电子取证的多个方面,包括MD5...
2022第四届长安杯电子取证竞赛 服务器时思路&题解 Zodi4c
Grignard_的博客
10-30 6744
2022 长安杯 服务器时思路&题解 Zodi4c战队
22长安杯电子取证复现(检材一,二)
weixin_74020633的博客
04-18 983
启动检材二的镜像后,进入powershell,powershell用于Windows进行系统管理且powershell有终端记忆历史命令的功能,进入后按上键就可以查看历史命令PowerShell是一种功能强大的脚本语言和shell程序框架,主要用于Windows计算机方便管理员进行系统管理并有可能在未来取代Windows上的默认命令提示符。
2022“美亚杯”第八届中国电子数据取证-团队题目
weixin_42744595的博客
11-14 5863
2022“美亚杯”第七届中国电子数据取证-团队题目
2022第四届长安杯电子取证竞赛-apk部分
weixin_57640498的博客
11-16 1589
最后一题解题所参考内容有链接,不妥请马上联系我删除
2022第四届长安杯检材二复盘(wp)
qq_56037764的博客
11-07 809
在上一题的子系统历史命令中也可以查看到有MySQL服务的安装记录以及,MySQL的启动,所以也可以直接在子系统利用命令查看。12、 检材2中,除检材1以外,还远程连接过哪个IP地址?停止或重启服务都靠它,如果你修改了它的密码或覆盖掉密码,就会出现错误,查看。版本的子系统可以直接启动,还可以查看历史命令,正好与取证出来的符合,火眼加载进去在xshell的连接记录中直接可以找到,或者仿真起来。版本需要安装,那很明显【技术员】使用的是已经安装好可以直接使用的。15、 检材2中,网站管理后台root账号的密码为。
2022第四届长安杯复盘(WP)
qq_56037764的博客
11-13 2027
史上最详细解题过程
2022长安杯-wp
weixin_61167540的博客
11-21 668
2022长安杯案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但 “HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。打开star_web.sh后里面就有jar包的启动顺序,可以将启动脚本放在检材一中启动,也可以根据启动命令顺序手动启动jar包,然后查看端口是否开启,到9090端口为网站管理。检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)检材1系统中,网卡绑定的静态IP地址为。
2022第四届长安杯66页最详细WP,零基础也能看懂
03-04
2022第四届长安杯66页WP,零基础也能看懂, 检材的原始IP 检材1 172.16.80.133 网站前端页面 检材2 172.16.80.100 技术员PC电脑 检材3 172.16.80.128 网站后端数据2022长安杯案情背景:某地警方接到受害人报案...
CAcup.md复盘长安杯电子取证
10-25
2021长安杯电子取证第一部分,第二部分复盘
电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大
07-12
在第六届“蓝帽杯”全国大学生网络安全技能大中,参者将有机会运用这些理论知识和实践技能,解决实际的网络安全问题,展示他们在电子取证领域的专业素养。通过这样的比,学生们不仅可以提升自己的技术水平,也...
2020长安杯电子取证复盘.rar
11-21
2020长安杯电子取证,无疑是这一领域的一次重要活动,它集中展示了我国电子取证技术的发展水平和专业人才的技能。本复盘文件详尽地记录了大的全过程,揭示了电子取证的关键环节和最新趋势。 电子取证,...
2022美亚杯第八届中国电子数据取证-个人write up详解,软件就用弘连和美亚,尽量写的细致一点。建议入门看,仅为了解题,没有专业精神。专业选手去看后面推荐的两篇解析,都是大佬。
ntrybw的博客
01-31 3970
我的说明:就软件来说,美亚真的落后很多,取证大师解析都出不来,还是弘连厉害,我考前因为觉得美亚软件很垃圾,手机大师没有下载,导致很多手机的题目心态慌张,很吃亏,所以建议大家都下载下来,美亚杯长安杯结束官方都会对软件做一定的更新,我此处为了模拟考试的环境,我对软件不做更新。
2022第四届长安杯(网站重构部分
m0_63689511的博客
11-17 617
(此时不能访问外网,但可以远程连接,如果需要访问外网,需要将VMnet8的网关IP和子网IP改为本地电脑所在的网段,以及更改Linux的网络配置文件,将其中的IP与网关跟改为本地网段,具体操作可以看。在检材二中, 我们不仅找到了前端和后端的启动脚本, 还找了数据库b1,和一份建站笔记,并且建站笔记中说了,先要启动后端,然后启动前端。对网站重构需要进行联动检材,检材一是网站前端镜像,检材二是网站管理员电脑的镜像,建材三是网站后端镜像。在检材一中,通过历史命令可以看到,启动网站前端的脚本被删除了。
2022第四届长安杯wp
m0_63689511的博客
11-19 9131
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但“HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
2022第四届长安杯复盘
wuwuliuliu0524的博客
11-08 2459
容器加挂密码:2022.4th.changancup!
第四届长安杯电子取证个人总结
weixin_57640498的博客
10-30 1902
2022第四届长安杯电子取证竞赛
随机数种子的作用
最新发布
帆的博客
07-23 1140
设置随机数种子(random seed)的目的是为了确保随机数生成器在每次运行时产生相同的随机数序列,从而保证实验结果的一致性。随机数种子通过初始化随机数生成器的内部状态,使得在相同的种子值下,随机数生成器每次调用时生成的序列是相同的。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值