题目共分为4个部分，难度由浅入深，压轴题目部分为网站取证，适合初赛首次考核取证部分的技术能力，解题对厂商取证软件没有依赖性，出题角度更注重选手的技术实力。

手机取证（建议共250分）

（取证类题目基础题，比较简单）

1. 627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？[答案格式：19201080][★☆☆☆☆]

360360

解题思路：

这是一个取证阅读器，打开阅读器进行查看在盘古石取证阅读器里搜索该文件，本题为取证题目签到题，比较基础，打开阅读器做简单的查找即可找到答案。打开多媒体，然后将该文件导出，查看其文件属性，即可找到分辨率信息，图片分辨率信息是写在图片的EXIF的信息里。

2. 姜总的快递单号是多少？[答案格式：QA1234567890][★★☆☆☆]

SF1142358694796

解题思路：

在盘古石取证阅读器查找聊天软件中的聊天记录，其中在skype软件的群聊里，发现涉案人员姜总在聊天中提及了一个快递单号信息。考察了对手机取证的内容做详细审核查找。

计算机取证（建议500分）

（各种嵌套加密及爆破，总体难度中等偏下。）

1. 从内存镜像中获得开机密码是多少？[答案格式：lanmaobei][★☆☆☆☆]

anxinqi

解题思路：

在计算机取证里有两个文件，发现1.dmp是内存镜像文件，因为它能够被volatility软件解析，使用hashdump命令得出哈希密码，再去解密得到开机密码，常规CTF取证题的思路。

2. 制作该内存镜像的进程Pid号是多少？[答案格式：1024][★★☆☆☆]

2192

解题思路：

使用volatility对内存镜像1.dmp进行分析，使用pslist命令来找内存镜像中的进程信息，发现内存镜像制作工具MagnetRAMCaptu...得到本题的答案。

3. bitlokcer分区某office文件中存在flag？[答案格式：flag{abCd1234}][★★★☆☆]

flag{b27867b66866866686866883bb43536}

解题思路：

Bitlocker是windows系统的加密分区，应该在计算机镜像里，挂载G.E01，使用内存镜像在对其进行解密。挂载该镜像成功后，自动跳出bitlocker解密弹窗。

使用Elcomsoft工具，把内存镜像中的密钥导出成evk格式的，然后再去解密，得到bitlocker密钥，解密bitlocker分区。

解密后得到了以下文件，发现了一个密码本pass.txt，尝试用密码本爆破，通过爆破从渗透看取证.pptx得到密码为287fuweiuhfiute，打开后，找到flag

4. Tc加密存在flag是什么？[答案格式：flag{abCd1234}][★★★☆☆]

flag{1349934913913991394cacacacacacc}

解题思路：这个文本文档的大小很可疑，应该是个加密容器文件，尝试使用内存镜像对其进行解密。

使用elcomsoft工具，对加密容器进行解密。解密成功后，发现了一个压缩包文件，打开发现压缩包有密码。

尝试对压缩包文件进行爆破，得到密码是991314，打开压缩包中的文件，得到flag

程序分析（建议共750分）需要靠手工分析代码

题目总体难度中上等。

1. 程序包名是？[答案格式：abv.va.as][★☆☆☆☆]

exec.azj.kny.d.c

解题思路：

反编译软件直接查看manifest,查看packge属性就行，或者使用相关APK信息查看器也可以。

2. 程序的入口是？[答案格式：asd.xda.asd.ca][★★☆☆☆]

minmtta.hemjcbm.ahibyws.MainActivity

解题思路：

反编译软件直接查看manifest,查看main和launcher上面的activity，或者使用相关APK信息查看器也可以。

3. 程序的服务器地址的密文是？[答案格式：asdqwewe][★★☆☆☆]

aHR0cHM6Ly9hbnNqay5lY3hlaW8ueHl6

解题思路：

反编译软件根据上题的程序入口，定位到MainActivity，查看到有个t(),查看用例发现被loadUrl()调用，它应该是URL，然后根据代码做Base64解码，得到了地址。

4. 程序实现安全检测的类的名称是？[答案格式：cla][★★★☆☆]

a

解题思路：

运行软件报错，提示注意资金安全，根据提示信息，反编译搜索定位，发现

if(d.a.a.c.a.a())

{

C.b("您手机处于root环境，请注意资金安全", 1);

return;

}

双击a(),看到了上面的class a

网站取证（建议共1000分）压轴部分，题目很难。

案情：据了解，**网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。

1. 请从网站源码中找出木马文件，并写出木马连接的密码。[答案格式：aaa123][★☆☆☆☆]

lanmaobei666

解题思路：

方法一.根据thinkphp框架的远程漏洞利用成功写入木马的位置：/runtime/temp目录，在目录中查看php文件内容。

方法二：使用网站木马扫描工具对整个网站目录进行扫描，发现有两个可以文件，以此打开确认木马文件为0f71e181346d43e56722aec663e5d4e9.php

2. 请提交数据库连接明文密码。[答案格式：Abc123][★★☆☆☆]

KBLT123

解题思路：
查看数据库配置文件(/application/database.php)，找到数据库连接配置

根据database.php配置文件找到加密算法文件encrypt.php,文件内容如下：

解读加密算法，然后通过在线AES解密功能进行解密，得到数据库连接密码。

3.请提交数据库金额加密混淆使用的盐值。[答案格式：Abc123][★★★★☆]

jyzg123456

解题思路：

登录后在交易管理-交易列表中进行代码跟踪，找到交易订单页面控制器名称http://127.0.0.1/channelorder/index.html

在网站目录中找到交易订单控制器文件Channelorder.php

分析其代码，得出结果。

4.请计算张宝2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB？[答案格式：123.66][★★★★★]

15758353.76

解题思路：

思路一：在已经正确进入到网站后台的前提下，编写爬虫对交易流水进行爬取，然后将爬取到的数据导入到数据库中，新建表jiaoyi，再使用sql语句进行关联查询

思路二：在已经正确进入到网站后台的前提下，在交易流水界面，筛选收款人姓名为王子豪，然后手动去将符合条件的数据进行计算。

安全为先，洞鉴未来，奇安信盘古石取证团队竭诚为您提供电子数据取证专业的解决方案与服务。如需试用，请联系奇安信各区域销售代表，或致电95015，期待您的来电！

“盘古石”团队是奇安信科技集团股份有限公司旗下专注于电子数据取证技术研发的团队，由来自国内最早从事电子数据取证的成员组成。盘古石团队以“安全为先，洞鉴未来”为使命，以“漏洞思维”解决电子数据取证难题，以“数据驱动安全”为技术思想，以安全赋能取证，研发新一代电子数据取证产品，产品涵盖计算机取证、移动终端取证、网络空间取证、IoT取证、取证数据分析平台等电子数据取证全领域产品和解决方案，为包括公安执法、党政机关、司法机关以及行政执法部门等提供全面专业的支持与服务。

原文始发于微信公众号（盘古石取证）：第六届“蓝帽杯”初赛取证题目官方write up