第二届龙信杯电子数据取证竞赛部分Writeup

admin

138658
文章

114
评论

2024年10月3日15:57:47评论151 views字数 11604阅读38分40秒阅读模式

前言

两个比赛又撞一块了，两边都没搞好，这套题感觉挺难了，通宵复盘了快8小时了，还有很多没有做出的，等待大佬补充。答案肯定有很多不对，仅供参考。

检材+题目电子版

公众号回复：2024龙信杯

题目

手机取证

序号	题干
1	分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]
2	分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]
3	分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]
4	分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]
5	分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]
6	分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）
7	分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]
8	分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]
9	分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]
10	分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100]
11	分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]
12	分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]
13	分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]
14	分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录？[标准格式：2]
15	分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]
16	接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]
17	接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：[email protected]]
18	接上题，恶意程序偷取数据的发件邮箱地址是多少？[标准格式：[email protected]]
19	接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]
20	接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

计算机取证

序号	题干
1	分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？[标准格式：1A23456ABCD]
2	分析计算机检材，身份证为"371963195112051505"这个人的手机号码是多少？[标准格式：13013524420]
3	分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假)[标准格式：100]
4	分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？[标准格式：100]
5	分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？[标准格式：100]
6	分析计算机检材，计算机中存在的“VPN”工具版本是多少？[标准格式：1.1]
7	分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？[标准格式：http://xxx.xx/x/xxx]
8	分析计算机检材，eduwcry压缩包文件的解压密码是什么？[标准格式：abcabc]
9	分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。[标准格式：全小写]
10	分析计算机检材，接上题，请问恶意程序记录的洋葱浏览器下载地址是多少？[标准格式：http://xxx.xxx/xxx/xxx.zip]
11	分析计算机检材，接上题，请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式：全小写]
12	分析计算机检材，接上题，恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式：2]
13	分析计算机检材，接上题，请问@[email protected]文件是通过什么函数创建的。[标准格式：Aabcdef]
14	分析计算机检材，接上题，恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式：sub_xxx]
15	分析计算机检材，VeraCrypt加密容器的密码是什么？[标准格式：abc]
16	分析计算机检材，其中存在一个苹果手机备份包，手机备份包的密码是什么？[标准格式：12345]
17	分析计算机检材，接上题，机主实际篡改多少条微信数据？[标准格式：1]
18	分析计算机检材，接上题，机主共存款了多少金额？[标准格式：10万]
19	分析计算机检材，在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]
20	分析计算机检材，接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]

流量取证

序号	题干
1	分析流量包检材，给出管理员对web环境进行管理的工具名。（标准格式：小皮）
2	分析流量包检材，给出攻击者的ip地址是多少。（标准格式：127.0.0.1）
3	分析流量包检材，给出攻击者爆破出的网站非管理员用户名是。（标准格式：admin）
4	分析流量包检材，攻击者进行目录扫描得到的具有后门的页面url路径为。（标准格式：/abc.html）
5	分析流量包检材，攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。（标准格式：test-type）
6	分析流量包检材，攻击者上传成功的恶意文件, 该文件的临时存放路径是。（标准格式：/abc/edf）
7	分析流量包检材，服务器php配置文件的存放位置（标准格式：/www/sev/php.ini）
8	分析流量包检材，被攻击的web环境其数据库密码是。（标准格式：qwer1234）
9	分析流量包检材，服务器管理存放临时登录密码的位置。（标准格式：/tmp/pass）
10	分析流量包检材，黑客获取的高权限主机的登录密码。（标准格式：qwer1234）

服务器取证

序号	题干
1	分析服务器检材，服务器会做登录密码验证，该登录验证文件位置在？[标准格式：/xxx/xxx/xxx.xxx]
2	分析服务器检材，服务器ssh端口是多少？[标准格式：1234]
3	分析服务器检材，服务器docker内有多少个镜像。[标准格式：100]
4	分析服务器检材，服务器内sqlserver默认账号的密码是？[标准格式：xxx]
5	分析服务器检材，服务器内sqlserver存放了阿里云存储下载地址，该下载地址是？[标准格式：https://xxx]
6	分析服务器检材，服务器内sqlserver内“cmf_user_action_log”表，表内存在的用户操作日志，一共操作次数是多少？[标准格式：100]
7	分析服务器检材，该服务器正在使用的数据库的持久化目录是什么？[标准格式：/xxx/xxx]
8	分析服务器检材，该网站后台正在使用的数据库有多少个集合？[标准格式：100]
9	分析服务器检材，该网站的后台登录地址是？[标准格式：/xxx/xxx.xxx 全小写，不加域名]
10	分析服务器检材，该网站后台使用的管理员加密算法是？[标准格式：全大写]
11	分析服务器检材，该网站最早使用超级管理员进行删除管理员操作的IP地址是？[标准格式：x.x.x.x]
12	分析服务器检材，该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件，该文件内的账单交易订单号是多少？[标准格式：123456]
13	分析服务器检材，该网站存在网站数据库备份功能，该功能的接口地址是？[标准格式：/xxx/xxx 全小写，不加域名]
14	分析服务器检材，该网站存放银行卡信息数据表中，其中信息数量前十的公司对应旗下visa银行卡一共有多少金额？[标准格式：100.00]
15	分析服务器检材，该网站在2023年二月一共获取了多少条通信记录？[标准标准格式：100]
16	分析服务器检材，该网站的一条管理员信息存在数据篡改，请分析是哪个管理员信息遭到篡改，该管理员用户名是？[标准格式：ABCDE]

Writeup

手机取证

分析手机检材，请问此手机共通过adb连接过几个设备？[标准格式：3]

这道题如果直接打开手机目录文件，你会看到最上面有一个adb文件夹，里面有个magisk.db，这个数据库中的policies表里有三条数据，所以可能会回答为3。

就比如我，回答了3。

image-20240930220657750

/data/adb/magisk.db其实是magisk APP的数据库，而policies表是APP用来根据包名，用户id决定策略的。

如果要查看ADB的相关配置，可以在/misc/adb/中找到，在此文件夹中包含了adb_temp_keys.xml，其中存储了ADB 密钥，那么受害人手机上包含了2条密钥，因此连接过2台设备

image-20240930220555847

“

2

”

本题参考链接

标题链接

如何通过magisk命令获取当前magisk APP的包名防止屏蔽有需要找我

topjohnwu/Magisk 防止屏蔽有需要找我
分析手机检材，机主参加考试的时间是什么时候？[标准格式：2024-06-17]

在便签中可以直接找到8月12日说下周五考试，下周五是8月23日

image-20240930221144559

标题	链接
如何通过magisk命令获取当前magisk APP的包名	防止屏蔽有需要找我
topjohnwu/Magisk	防止屏蔽有需要找我

“

2024-08-23

”

分析手机检材，请问手机的蓝牙Mac地址是多少？[标准格式：12:12:12:12:12:12]

蓝牙Mac地址存在于misc_1/bluedroid/bt_config.conf中

image-20240930221520273

“

48:87:59:76:21:0f

”
分析手机检材，请问压缩包加密软件共加密过几份文件？[标准格式：3]

这道题如果用的火眼，记得分析耗时任务中的 特征分析

image-20240930222040265

image-20240930222208258

“

6

”
分析手机检材，请问机主的另外一个155的手机号码是多少？[标准格式：15555000555]

这题其实是和上一题结合起来的，上一题的文件，是包含在FileCompress目录下的，所以直接找这个apk，通过分析找到解压密码1!8Da9Re5it2b3a.，对6个压缩包进行解密。

image-20240930222919085

通过解压得到以下内容

image-20240930223138731

“

15599555555

”
分析手机检材，其手机存在一个加密容器，请问其容器密码是多少。（标准格式：abc123）

接上题

image-20240930223145287

“

d7Avsd!Y]u}J8i(1bnDD@<-o

”
分析手机检材，接上问，其容器中存在一份成员名单，嫌疑人曾经误触导致表格中的一个成员姓名被错误修改，请确认这个成员的原始正确姓名？[标准格式：张三]

加密容器是 受害人手机检材.tar/media_425/0/Download/data 但他不是vc加密，而是tc加密，剩下的就不会做了

image-20240930224726086
分析手机检材，接上题，请确认该成员的对应的最高代理人是谁（不考虑总部）？[标准格式：张三]

也不会
分析手机检材，请确认在该组织中，最高层级的层次是多少？（从总部开始算第一级）[标准格式：10]

用网矩分析最高层级是11级，没有算总部，所以是12级，举一个例子
```
总部->卢月梅->唐美环->韦李英->黄利笑->唐勇->黄丽桥->韦春玉->芭蕾鱼->梁文彤->韦飞婷->黄利珍
```
image-20240930233009932

“

12

”
分析手机检材，请问第二层级（从总部开始算第一级）人员最多的人是多少人？[标准格式：100]

总部是邀请人的一共有11个人，所以就是说看这11个人，哪个人邀请的最多

image-20240930234417353

陈金香-46人

熊秀英-16人

王丽华王武玉-11

李莉-43

覃美兰-30

贾书英-60

廖祥燕-22

李素玲-52

卢月梅-20

刘珏兰-28

陈海云-46

“

60

”
分析手机检材，机主共开启了几款APP应用分身？[标准格式：3]

image-20240930235915315

“

2

”
分析手机检材，请问机主现在安装了几款即时通讯软件（微博除外）？[标准格式：1]

既然是龙信的比赛，就用龙信的工具来查看

image-20241001000323753

“

2

”
分析手机检材，请问勒索机主的账号是多少（非微信ID）？[标准格式：AB123CD45]

image-20241001000352264

“

1836042664454131712

”
分析手机检材，接上问，请问机主通过此应用共删除了多少条聊天记录？[标准格式：2]

image-20241001000404937

“

1

”
分析手机检材，请问会盗取手机信息的APP应用包名是什么？[标准格式：com.lx.tt]

查看微信聊天记录获取apk

image-20241001000707959

“

com.lxlxlx.luoliao

”
接上题，请问该软件作者预留的座机号码是多少？[标准格式：40088855555]

雷电分析出了一个邮箱，直接进入查看

image-20241001001806110

image-20241001002007233

注意这里的 w0+x0

image-20241001002034839

因此拼接起来就是iSkrO/5aOpJ6AAFQNl4t/9k013k52gh6U+1240De1DEVJaQJ7ByaJExZmcgdXkz92RANgWCqZ/T6prig6uqOFA==

image-20241001002453437

“

40085222666

”
接上题，恶意程序偷取数据的收件邮箱地址的gmail邮箱是多少？[标准格式：[email protected]]

image-20241001002746900

“

[email protected]

”
接上题，恶意程序偷取数据的发件邮箱地址是多少？[标准格式：[email protected]] 发邮件肯定用到smtp，所以直接搜smtp

image-20241001002950644

image-20241001003006916

“

[email protected]

”
接上题，恶意程序偷取数据的发件邮箱密码是多少？[标准格式：abc123]

image-20241001003028388

“

qwer123456

”

接上题，恶意程序定义收发件的地址函数是什么？[标准格式：a]

public final boolean a(String str, String str2, List<String> list, List<File> list2) {        try {            this.f302a.a(new e(new String(b.b.a.a.a(this.d.getBytes(), "E10ADC3949BA59ABBE56E057F20F883E".getBytes()))));            e[] eVarArr = new e[list.size()];            for (int i = 0; i < list.size(); i++) {                eVarArr[i] = new e(list.get(i));            }            this.f302a.a(f.a.f369c, eVarArr);            this.f302a.c(str);            j jVar = new j();            h hVar = new h();            hVar.a((Object) str2, "text/html;charset=UTF-8");            jVar.a((b) hVar);            if (list2 != null && list2.size() > 0) {                for (File file : list2) {                    h hVar2 = new h();                    hVar2.a(new c.a.f(new c.a.j(file)));                    h.b(hVar2, file.getName());                    jVar.a((b) hVar2);                }            }            i iVar = this.f302a;            if (iVar != null) {                iVar.a(new c.a.f(jVar, jVar.a()));                jVar.a(iVar);                this.f302a.e();                throw null;            }            throw null;        } catch (Exception e) {            e.printStackTrace();            return true;        }    }

“

a

”

计算机取证

分析计算机检材，嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密，用于加密的key是多少？[标准格式：1A23456ABCD]

用火眼看不了，所以仿真起来，记得把火眼默认绕过密码取消

image-20241001010407707

“

65B2564BG89F16G9

”

分析计算机检材，身份证为"371963195112051505"这个人的手机号码是多少？[标准格式：13013524420]

写个解密脚本解密

from Crypto.Cipher import AESfrom Crypto.Util.Padding import unpaddef aes_decrypt(encrypted_data, key, iv):    cipher = AES.new(key, AES.MODE_CBC, iv)    decrypted_data = unpad(cipher.decrypt(bytes.fromhex(encrypted_data)), AES.block_size)    return decrypted_data.decode()key = b'65B2564BG89F16G9'iv = b'83E6CBEF547944CF'input_file = "encrypted_data.txt"output_file = "decrypted_data.txt"def process_decrypted_data(input_file, output_file, key, iv):    with open(input_file, "r") as f_in, open(output_file, "w") as f_out:        for line in f_in:            parts = line.strip().split(',')            index = parts[0]            f_out.write(index + ",")            decrypted_parts = []            for part in parts[1:]:                decrypted_part = aes_decrypt(part, key, iv)                decrypted_parts.append(decrypted_part)            f_out.write(",".join(decrypted_parts) + "n")process_decrypted_data(input_file, output_file, key, iv)print("解密完成。")

速度挺慢的，等等吧

“

15075547510

”

第二届龙信杯电子数据取证竞赛部分Writeup — image-20241001013812668

*分析计算机检材，对解密后的身份证数据列进行单列去重操作，重复的身份证号码数量是多少？(身份证不甄别真假)[标准格式：100]
*分析计算机检材，接上题，根据身份证号码（第17位）分析性别，男性的数据是多少条？[标准格式：100]
*分析计算机检材，接上题，对解密后的数据文件进行分析，甄别身份证号码性别值与标识性别不一致的数量是多少？[标准格式：100]
分析计算机检材，计算机中存在的“VPN”工具版本是多少？[标准格式：1.1]

image-20241001011140429

“

4.4

”
分析计算机检材，计算机中存在的“VPN”节点订阅地址是什么？[标准格式：http://xxx.xx/x/xxx]

image-20241001011215493

“

https://paste.ee/d/4eIzU

”
分析计算机检材，eduwcry压缩包文件的解压密码是什么？[标准格式：abcabc]

Sogou词库里有

image-20241001012457333

bandizip密码管理器里也有

image-20241001012541669

“

yasuomima

”
*分析计算机检材，接上题，请问恶意程序释放压缩包的md5值是多少。[标准格式：全小写]

我用D盾监测C盘编码，没监测到zip
*分析计算机检材，接上题，请问恶意程序记录的洋葱浏览器下载地址是多少？[标准格式：http://xxx.xxx/xxx/xxx.zip]
*分析计算机检材，接上题，请问恶意程序解密了t.wnry后该dll的md5值是多少。[标准格式：全小写]
*分析计算机检材，接上题，恶意程序运行起来后第一个循环调用了几次taskkill.exe。[标准格式：2]
*分析计算机检材，接上题，请问@[email protected]文件是通过什么函数创建的。[标准格式：Aabcdef]
*分析计算机检材，接上题，恶意程序修改系统桌面壁纸是在哪个函数实现的[标准格式：sub_xxx]
分析计算机检材，VeraCrypt加密容器的密码是什么？[标准格式：abc]

image-20241001014649893

“

qwertyuiop1

”
分析计算机检材，其中存在一个苹果手机备份包，手机备份包的密码是什么？[标准格式：12345]

查看历史记录，知道了密码是5位数字，但是我这小笔记本跑不动，比赛的时候跑了半小时才跑了2000

image-20241001014742145

“

75966

”
分析计算机检材，接上题，机主实际篡改多少条微信数据？[标准格式：1]

image-20241001015211162

“

34

”
*分析计算机检材，接上题，机主共存款了多少金额？[标准格式：10万]
分析计算机检材，在手机模拟器中勒索apk软件的sha256值是什么？[标准格式：全小写]

image-20241001020415382

“

340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

”
分析计算机检材，接上题，请问勒索apk软件的解锁密码是什么？[标准格式：qwer.com]

image-20241001020755650

“

anzhuo.com

”

流量取证

*分析流量包检材，给出管理员对web环境进行管理的工具名。（标准格式：小皮）
分析流量包检材，给出攻击者的ip地址是多少。（标准格式：127.0.0.1）

过滤http 看谁给谁发送的包

image-20241001021854553

“

192.168.209.135

”
*分析流量包检材，给出攻击者爆破出的网站非管理员用户名是。（标准格式：admin）
分析流量包检材，攻击者进行目录扫描得到的具有后门的页面url路径为。（标准格式：/abc.html）

image-20241001024447991

“

/up_load.php

”
分析流量包检材，攻击者通过修改请求包中的哪个字段导致恶意文件成功上传。（标准格式：test-type）

image-20241001022122623

“

Content-Type

”
分析流量包检材，攻击者上传成功的恶意文件, 该文件的临时存放路径是。（标准格式：/abc/edf）

image-20241001022206385

“

/tmp/php7Ndiwg

”
分析流量包检材，服务器php配置文件的存放位置（标准格式：/www/sev/php.ini）

image-20241001022627344

“

/www/server/php/82/etc/php.ini

”
分析流量包检材，被攻击的web环境其数据库密码是。（标准格式：qwer1234）

image-20241001022837571

“

X847Z3QzF1a6MHjR

”
分析流量包检材，服务器管理存放临时登录密码的位置。（标准格式：/tmp/pass）

image-20241001023852342

image-20241001024018324

“

/tmp/tmppass

”
分析流量包检材，黑客获取的高权限主机的登录密码。（标准格式：qwer1234）

“

passwd!@#

”

服务器取证

分析服务器检材，服务器会做登录密码验证，该登录验证文件位置在？[标准格式：/xxx/xxx/xxx.xxx]

第一次仿真登录进去发现会删东西，然后在火眼中搜 .sh脚本，根据时间找最近的几个，看哪个里面和删除文件相关

“

/etc/profile.d/check-system.sh

”
分析服务器检材，服务器ssh端口是多少？[标准格式：1234]

image-20241001025243254

“

12320

”
分析服务器检材，服务器docker内有多少个镜像。[标准格式：100]

image-20241001025350935

“

7

”
分析服务器检材，服务器内sqlserver默认账号的密码是？[标准格式：xxx]

我进入服务器方法是，先单用户模式进入，删除/etc/profile.d/check-system.sh文件，然后进入的时候用之前的密码显示不对，又进入了一次修改了密码，成功进入

单用户教程参考：https://blog.csdn.net/weixin_46622976/article/details/130428906

这个教程里没有修改写的权限，记得把ro改为rw

image-20241001031302594
```
docekr inspect 392e75f460f4
```
image-20241001031506959

“

i7uFtnkTv8

”
分析服务器检材，服务器内sqlserver存放了阿里云存储下载地址，该下载地址是？[标准格式：https://xxx]

image-20241001032252695

“

https://xinfenfa.oss-accelerate.aliyuncs.com

”
*分析服务器检材，服务器内sqlserver内“cmf_user_action_log”表，表内存在的用户操作日志，一共操作次数是多少？[标准格式：100]
分析服务器检材，该服务器正在使用的数据库的持久化目录是什么？[标准格式：/xxx/xxx]

mysql没有表排除

image-20241001035135325

mongoDB中包含数据，持久化文件在/data

image-20241001040234473

“

/data/mongo

”
*分析服务器检材，该网站后台正在使用的数据库有多少个集合？[标准格式：100]
分析服务器检材，该网站的后台登录地址是？[标准格式：/xxx/xxx.xxx 全小写，不加域名]

image-20241001044508369

“

mingadmin/common/login

”
分析服务器检材，该网站后台使用的管理员加密算法是？[标准格式：全大写]

image-20241001043045140

“

BCRYPT

”
分析服务器检材，该网站最早使用超级管理员进行删除管理员操作的IP地址是？[标准格式：x.x.x.x]

删除管理员是26

image-20241001040504715

所以查询 app_admin_log表中admin_menu_ie=26

image-20241001041140704

“

117.132.191.203

”
*分析服务器检材，该网站后台上传过sha256值为“b204ad1f475c7716daab9afb5f8d61815c508f2a2b1539bc1f42fe2f212b30d1”的压缩包文件，该文件内的账单交易订单号是多少？[标准格式：123456]
*分析服务器检材，该网站存在网站数据库备份功能，该功能的接口地址是？[标准格式：/xxx/xxx 全小写，不加域名]
分析服务器检材，该网站存放银行卡信息数据表中，其中信息数量前十的公司对应旗下visa银行卡一共有多少金额？[标准格式：100.00]

VISA银行卡开头一般都为4，所以先筛选银行卡开头为4的，再分析

image-20241001043828350

image-20241001044345484

“

22139070.85

”
*分析服务器检材，该网站在2023年二月一共获取了多少条通信记录？[标准标准格式：100]
*分析服务器检材，该网站的一条管理员信息存在数据篡改，请分析是哪个管理员信息遭到篡改，该管理员用户名是？[标准格式：ABCDE]