2023 年全国网络安全行业职业技能大赛 电子数据取证分析师

第一部分：电子数据提取与固定

任务 1：检材 1.rar 上的任务

检材是一个手机备份，请通过技术手段提取以下信息。

1. 提取名称为“陈伦国”的联系人的手机号码，以此作为 flag 提交。（答案格式如：13012345678）

   “

   13800620796

   ”

2. 提取最早卸载的软件的包名称，以此作为 flag 提交。（答案格式如：com.abc.dd）

   在小米应用商店中查看卸载记录

   “

   com.jndsapp.info

   ”

3. 提取以“HUAWEI_”开头的 WIFI 连接的密码，以此作为 flag 提交。（答案格式 如:abcd1234）

   “

   39F!F=qH

   ”

4. *提取嫌疑人预约的看牙医的时间，以此作为 flag 提交。（答案格式如：2020-01-01 （到日即可））

5. 提取爱聊应用中用户 id 以 4503 结尾的用户的昵称，以此作为 flag 提交。（答案格式 如：nihao 上海 1234）

   “

   后来的我们

   ”

任务 2:检材 2.rar 上的任务

检材是一个电脑制作的镜像，请根据该镜像文件回答以下内容（以下答案都采用英文半角）：

1. 提取本地网口 ens33 的 IP 地址，并以此作为 flag 提交。（答案格式：XX.XX.XX.XX)

   “

   172.16.120.113

   ”

2. 提取操作系统 root 用户的登录密码，并以此作为 flag 提交。（答案格式：abcd1234）

   “

   2023rootfinal

   ”

3. 数据库中存放了大量用户的信息，请找到该表，提取手机号码为“13604329317”的用户 的名称，并以此作为 flag 提交。（答案格式：写出名称）

   “

   vma

   ”

4. 已知电脑中有一个抓包文件，请对该文件进行分析，给出流量包中可以获取的最大的图 片的大小（单位字节），并以此作为flag提交。（答案格式：12345)

   “

   217406

   ”

5. 请从抓包文件中找到“组织架构.zip”文件，计算其 MD5（128 位）值，以此作为 flag 提交。（答案格式：C4CA4238A0B923820DCC509A6F75849B，字母大写）

   “

   5AE00DA858568A790CBDE139C4AAA6E3

   ”

6. 请给出“高柳”的上线的上线的名称，并以此作为 flag 提交。（例如：赵二的上线是张 三，张三的上线是李四，则赵二的上线的上线就是李四）

   提取数据库中的密码，制作字典，进行爆破

   “

   王勇

   ”

第二部分：电子数据恢复

任务 3:检材 3.rar 上的任务

1. 对磁盘进行修复并加载成功后，计算磁盘的 MD5 值，并以此作为 flag 提交。（答案格式：69271864341AA3B2C1E6F2DCA5E90666）

   修复过程：发现L、X 的文件头缺失，把M的拿过来补上（200h之前的）

   然后加入到取证大师，注意标注的这几个地方

   加载成功

   “

   C1678C9A478ACDA7EA8CEE16072D56D8

   ”

2. 对磁盘进行修复并加载成功后，磁盘共计有多少个扇区。（答案格式：1）

   “

   6082559

   ”

3. 给出磁盘中的数据库 root 用户最后一次修改密码的时间，并以此作为 flag 提交。（答 案格式：2022-12-12 12:01:11）

   导出mysql文件夹，然后分析

   “

   2021-03-17 15:49:52

   ”

4. 磁盘中的数据库里有一张表记录了发布的通知，给出最后一次通知创建的时间，并以此 作为 flag 提交。（答案格式：2022-12-12 12:01:11）(3 分)

   记得把时间+8

   “

   2017-9-13 14:49:44

   ”

5. *磁盘中的数据库里有一张表记录了管理员账号，给出这张表里记录的密码的密文，并以 此作为 flag。

   admin_account表中没有东西，找不到，摆烂！

任务 4:检材 4.rar 上的任务

1. 对虚拟机进行分析，并找出其中“李真宝”的身份证号，并以此作为 flag 提交。（2 分）

   “

   51111119410922966X

   ”

2. 对虚拟机进行分析，并找出其中“黄季恬”的身份证号，并以此作为 flag 提交。（2 分）

   首先找到了一个123.rar，然后发现同目录下有个123.txt应该是他的解压密码，然后打开是一个内存镜像，后面发现data.txt是一个vc加密，想起来刚才的内存镜像，果不其然，在内存镜像中的剪切板中找到密码，打开得到flag

   “

   131121195402215888

   ”

3. 对虚拟机进行分析，并找出其中“王达离”的手机号，并以此作为 flag 提交。（3 分）

   数据搜索找到的

   “

   15001888577

   ”

4. 对虚拟机进行分析，并找出其中“陈右绮”的手机号，并以此作为 flag 提交。（4 分）

   通过DiskGenius对数据进行恢复

   发现这个图片的CRC不对，可能有隐写，修改宽高得到

   “

   15806897653

   ”

5. 对虚拟机进行分析，并找出其中“杜春玟”的手机号，并以此作为 flag

   在检材2中，发现了 steg，所以猜测是steg隐写，导出文件夹，发现里面有个图片，导入steg中，导出文件发现会出现几个文件

   通过爆破得到密码：1qaz2wsx

   “

   15382469711

   ”

第三部分：电子数据分析

任务 5:检材 5.rar 上的任务

获取了一个服务器镜像，服务器镜像中包含了 1 个集群和网站服务，请通过技术手段进行分析。

1. 提取系统中容器名称为 namenode 节点的容器 ID，并以此作为 flag 提交。（答案格式如：取前 12 位即可，12345678abcd）

   docker ps -a

   “

   99131b4891b0

   ”

2. 获取集群中的名称为“tom-xiao”的用户的 card-id，并以此作为 flag 提交。（答案格式如：110123456789023456）

   [root@localhost ~]# docker exec -it namenode /bin/bash[root@namenode /]# cd /usr/local/hbase-1.1.5/bin/[root@namenode bin]# lsdraining_servers.rb   hbase             hbase-common.sh   hbase-daemon.sh   hirb.rb                 master-backup.sh  region_status.rb    shutdown_regionserver.rb  stop-hbase.cmd  thread-pool.rbget-active-master.rb  hbase-cleanup.sh  hbase-config.cmd  hbase-daemons.sh  local-master-backup.sh  region_mover.rb   replication         start-hbase.cmd           stop-hbase.sh   zookeepers.shgraceful_stop.sh      hbase.cmd         hbase-config.sh   hbase-jruby       local-regionservers.sh  regionservers.sh  rolling-restart.sh  start-hbase.sh            test[root@namenode bin]# ./hbase shellSLF4J: Class path contains multiple SLF4J bindings.SLF4J: Found binding in [jar:file:/usr/local/hbase-1.1.5/lib/slf4j-log4j12-1.7.5.jar!/org/slf4j/impl/StaticLoggerBinder.class]SLF4J: Found binding in [jar:file:/usr/local/hadoop-2.5.2/share/hadoop/common/lib/slf4j-log4j12-1.7.5.jar!/org/slf4j/impl/StaticLoggerBinder.class]SLF4J: See http://www.slf4j.org/codes.html#multiple_bindings for an explanation.SLF4J: Actual binding is of type [org.slf4j.impl.Log4jLoggerFactory]HBase Shell; enter 'help<RETURN>' for list of supported commands.Type "exit<RETURN>" to leave the HBase ShellVersion 1.1.5, r239b80456118175b340b2e562a5568b5c744252e, Sun May  8 20:29:26 PDT 2016hbase(main):001:0> listTABLE                                                                                                         passinfo                                                                                                       user                                                                                                           2 row(s) in 8.2120 seconds=> ["passinfo", "user"]hbase(main):002:0> scan 'user'ROW                                                          COLUMN+CELL                                           001                                                         column=info:card_id, timestamp=1703541386775, value=130109198001019201                                                                                        001                                                         column=info:name, timestamp=1703541295759, value=tom-xiao                                                                                                 1 row(s) in 0.0900 seconds

   通过list查看表，scan获取数据

   “

   130109198001019201

   ”

3. 数据库的备份数据以扩展名为 zip 的文件存储在系统中，找到该 zip 文件计算其 MD5 （128 位）校验值，并以此作为 flag 提交。（答案格式如：C4CA4238A0B923820DCC509A6F75849B，字母大写）

   找到压缩文件，查看其它文件都不是数据库备份文件，pay.zip打不开，修复文件头发现是备份文件，计算修复前的文件MD5

   “

   164BDFC3E35173FF312270FA2BD5A7F6

   ”

4. 找到网站连接数据库的密码，并以此作为 flag 提交。（答案格式如：123456abcdef）

   “

   @d*E5x^N

   ”

5. 给出数据库中存储网站的后台管理员的数据表的名称，并以此作为 flag 提交。（答案格 式如：abctable）

   查看mysql的日志.mysql_history

   “

   pay_sjtadminsjt

   ”

6. 给出编号为 10100 的商户的资金交易变动后，最终的金额，并以此作为 flag 提交。（答案格式如：100.100）

   第二问的时候看压缩包密码：STmk6GZN

   “

   34.200

   ”

任务 6：检材 6.rar 上的任务（23 分）

1. 请分析手机模拟器中的即时通讯 APP，计算该 APK 的 MD5，并以此作为 flag 提交。（答 案格式：69271864341AA3B2C1E6F2DCA5E90666）

   新建个模拟器，导入就行

   “

   891ABE5A8D00B23765D0CAF56D2ECCA6

   ”

2. 给出该 APP 后台服务器的域名，并以此作为 flag 提交。（答案格式：仅包含域名）

   “

   xingchenim.cn

   ”

3. 给出该 APP 当前账号加密聊天记录数据库时使用的密钥，并以此作为 flag 提交。

   看川哥的 再战野火IM 直接一把梭

   “

   e6ecb900-aa41-439c-9de8-2503e00e308e

   ”

4. 给出该 APP 中与“谭永”聊天最后一条消息的时间，并以此作为 flag 提交。（答案格式：2022-02-02 11:11:11）

   用得到的token解密数据库data.vmdk/分区4/data/cn.xingchenchat.chat/files/flfMfMTT/42815d9d7a016df21659380610469/data

   “

   2022-08-02 03:54:25

   ”

5. 给出该 APP 中用户发给“谭永”的压缩包文件的 MD5，并以此作为 flag 提交。

   “

   8BA084496CD8A7BB360D0B585472BE94

   ”

6. 对上述 APP 进行分析，找出“吴延凡”的身份证号，并以此作为 flag 提交。

   解压后得到文件

   “

   54012219070114068X

   ”

7. *已知上述压缩包中的文件中包含了银行卡余额信息，请分析该压缩包，并按照省份进行 统计，余额最多的省份共计余额有多少，并以此作为 flag提交。

   不会