2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目。
【APK取证】涉案apk的包名是?[答题格式:com.baid.ccs]
【APK取证】涉案apk的签名序列号是?[答题格式:0x93829bd]
【APK取证】涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]
【APK取证】涉案apk的服务器域名是?[答题格式:http://sles.vips.com]
【APK取证】涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]
【手机取证】该镜像是用的什么模拟器?[答题格式:天天模拟器]
【手机取证】该镜像中用的聊天软件名称是什么?[答题格式:微信]
【手机取证】聊天软件的包名是?[答题格式:com.baidu.ces]
【手机取证】投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]
【手机取证】受害人是经过谁介绍认识王哥?[答题格式:董慧]
【计算机取证】请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]
【计算机取证】给出pc.e01在提取时候的检查员?[答案格式:admin]
【计算机取证】请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]
这是错误答案,正确的要去注册表查看
【计算机取证】请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]
【计算机取证】请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]
【计算机取证】请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]
这是取证大师直接搜出来的文件,但是是错误答案,下有正确答案
【计算机取证】请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]
【计算机取证】请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]
【计算机取证】请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]
【计算机取证】分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]
启动这个程序自动跳出F盘,txt文件大小异常
vc挂载,密码在密码.txt上
同时计算这里的C盘清理.bat的哈希
【内存取证】请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
【内存取证】请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
【内存取证】提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
【内存取证】请给出用户yang88的LMHASH值?[答案格式:字母小写]
【内存取证】请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
【内存取证】请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
【内存取证】分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
【内存取证】请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
【服务器取证】分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]
【服务器取证】分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]
.env
APP_NAME=LaravelGlobalBonus
APP_ENV=local
APP_KEY=base64:+90gHlNsoj6J0G9OepRfOkW/9IJHiK+bGS1Lt+wzn+M=
#APP_DEBUG=false
APP_DEBUG=true
APP_URL=http://localhost
LOG_CHANNEL=stack
DB_CONNECTION=mysql
DB_HOST=pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
DB_PORT=3306
DB_DATABASE=viplicai
DB_USERNAME=root
DB_PASSWORD=ff1d923939ca2dcf
BROADCAST_DRIVER=log
CACHE_DRIVER=file
QUEUE_CONNECTION=sync
SESSION_DRIVER=file
SESSION_LIFETIME=120
REDIS_HOST=127.0.0.1
REDIS_PASSWORD=null
REDIS_PORT=6379
MAIL_DRIVER=smtp
MAIL_HOST=smtp.mailtrap.io
MAIL_PORT=2525
MAIL_USERNAME=null
MAIL_PASSWORD=null
MAIL_ENCRYPTION=null
AWS_ACCESS_KEY_ID=
AWS_SECRET_ACCESS_KEY=
PUSHER_APP_ID=
PUSHER_APP_KEY=
PUSHER_APP_SECRET=
PUSHER_APP_CLUSTER=mt1
MIX_PUSHER_APP_KEY="${PUSHER_APP_KEY}"
MIX_PUSHER_APP_CLUSTER="${PUSHER_APP_CLUSTER}"
Edition=LC.V5
RoutePrefix=AdminV9YY
Template=hui
#起始推荐码
StartCode=513566
#随机推荐码
RanDomCode=369
#分红返利时间设定
BonusHours=H
BonusMinutes=30
ff1d923939ca2dcf
【服务器取证】分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]
pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
【服务器取证】请给出涉网网站数据库版本号? [答题格式: 5.6.00]
宝塔修改密码
【服务器取证】请给出嫌疑人累计推广人数?[答案格式:100]
导入xb数据
SHOW VARIABLES LIKE "datadir";
-- datadir /www/server/data/
#安装qpress
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin
#安装xtrabackup
wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
#使用xbstream处理qp.xb文件
cat 8p47w1251_qp.xb | xbstream -x -v -C /www/server/data
#进入/www/server/data进行解压
cd /www/server/data
innobackupex --decompress --remove-original /www/server/data
innobackupex --defaults-file=/etc/my.cnf --apply-log /www/server/data
chown -R mysql:mysql /www/server/data
#修改mysql配置文件
vim /etc/my.cnf
#在[mysqld]块下添加
#lower_case_table_names=1
重启nginx,mysql
【服务器取证】请给出涉案网站后台启用的超级管理员?[答题格式:abc]
【服务器取证】投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]
【服务器取证】最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]
【服务器取证】分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]
【服务器取证】分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]
SELECT *
FROM member
WHERE bankaddress LIKE "%上海%" AND amount > 0;
【服务器取证】分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]
【服务器取证】分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]
SELECT *
FROM member
WHERE realname="陈昊民";
SELECT COUNT(*)
FROM member
WHERE inviter="513935";
【服务器取证】分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]
SELECT COUNT(*) as daili,inviter
FROM member
GROUP BY inviter
HAVING daili > 2;
【服务器取证】分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]
SELECT COUNT(*) as daili,inviter
FROM member
GROUP BY inviter
HAVING daili > 2
ORDER BY daili DESC;
SELECT realname
FROM member
WHERE invicode="617624";
【服务器取证】分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]
SELECT SUM(moneylog_money)
FROM moneylog
WHERE moneylog_status="+";
SELECT SUM(moneylog_money)
FROM moneylog
WHERE moneylog_status="-";
SELECT 19882178.77-4803382.39;