检材:https://pan.baidu.com/s/1TNbr55qqkh6orRrx_saSMQ?pwd=5h21
提取码:5h21
容器密码:/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;
复盘内容仅代表个人观点,欢迎各位大佬指正
1
计算机取证
1. [填空题]对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合,如:D23DDF44) (2分)
BDBE1073
2. [填空题]对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00) (2分)
2024-10-25 22:57:32
3. [填空题]对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234) (2分)
24
4. [填空题]对计算机镜像进行分析,该操作系统设置的账户密码最长存留期为多少天?(填写数字,答案格式如:1234) (2分)
42
5. [填空题]对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为?(答案格式:1.23) (2分)
5.86
6. [填空题]对计算机镜像进行分析,该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备,其接入时分配的盘符为?(答案格式:A:) (2分)
E:
7. [填空题]对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1) (2分)
192.168.43.1
8. [填空题]对计算机镜像进行分析,该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1) (2分)
192.168.188.1
9. [填空题]对计算机镜像进行分析,写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合,如:D23DDF44) (2分)
10887AE1
发现该文件在此压缩文件下
10. [填空题]对计算机镜像进行分析,该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字,答案格式如:1234) (2分)
12849
11. [填空题]对计算机镜像进行分析,该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的?(填写汉字,答案格式:阿里云) (2分)
亚马逊云科技
ip为18.55.213.79
12. [填空题]对计算机镜像进行分析,获取机主保存在本机的U盾序号的后4位数字为?(填写数字,答案格式如:1234) (2分)
6409
找到该图片,有个尾部隐写
13. [填空题]对计算机镜像进行分析,机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024) (2分)
2019
找到该文件即可
14. [填空题]对计算机镜像进行分析,该操作系统访问“环球商贸”的IP地址为?(答案格式:127.0.0.1) (2分)
39.108.126.128
15. [填空题]对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为?(答案按照实际填写,字母存在大小写) (2分)
HQSM#20231108@gwWeB
仿真后打开finalshell,将环球商贸的记录导出,找到加密后的password为LnxBUXEMESGQ6fcB1PwFtTEkqFavMB6qzeWZhCe4pj0=
解密后得到
16. [填空题]对计算机镜像进行分析,机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写,字母全小写) (2分)
jlb654321
同上题,SGtAJx47dC0x51qbUIgKJG3d5yAghF4D解密后为jlb654321
1.[填空题]对计算机镜像进行分析,机主搭建的宝塔面板的安全入口为?(答案格式:/abc123) (2分)
/c38b336a
仿真起来后,发现没有网卡,配个网卡,连接finalshell
18. [填空题]对计算机镜像进行分析,机主搭建的宝塔面板的登录账号为?(答案格式:abcd) (2分)
igmxcdsa
19. [填空题]对计算机镜像进行分析,其搭建的宝塔面板的登录密码为?(按实际值填写) (2分)
EGpxGH8NfD
这里没有显示,修改密码后进去看看,这里应该是随机生成的密码,应该不是
20. [填空题]对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写) (4分)
17859628390
查看宝塔面板的userinfo.json
21. [填空题]对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境的root密码为?(按实际值填写) (4分)
123456
22. [填空题]对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字,答案格式如:1234) (2分)
3306
23. [填空题]接上题,“卡号分组”表所在的数据库名为?(答案按照实际填写,字母全小写) (4分)
a_train2023
navicat连接上数据库也可以查看
24. [填空题]接上题,“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56) (4分)
6610.94
在navicat连接的数据库中没找到相应时间节点,在宝塔mysql有个备份文件
导出后查看
2
手机取证
1. [填空题]对手机镜像进行分析,机主微信ID号为?(答案按照实际填写,字母全小写) (2分)
wxid_gvlyzqeyg83o22
2. [填空题]对手机镜像进行分析,机主在2023年12月登录宝塔面板使用的验证码为?(填写数字,答案格式如:1234) (2分)
482762
3. [填空题]对手机镜像进行分析,小众即时通讯“鸽哒”应用程序的最后更新时间为?(答案格式如:1970-01-01 00:00:00) (2分)
2024-09-20 10:06:13
4. [填空题]对手机镜像进行分析,该手机中记录的最后一次开机时间。(答案格式如:1970-01-01 00:00:00) (2分)
2024-10-24 11:27:14
5. [填空题]对手机镜像进行分析,该手机中高德地图APP应用的登录ID为?(答案按照实际填写) (2分)
950980338
6. [填空题]对手机镜像进行分析,该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?(答案格式:大写字母与数字组合,如:D23DDF44) (2分)
572589DA
7. [填空题]对手机镜像进行分析,其中20220207-20230206的微信账单文件的解压密码为?(答案格式:按实际值填写) (2分)
847905
8. [填空题]对手机镜像进行分析,机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市) (2分)
景德镇市
9. [填空题]对手机镜像进行分析,通过AI合成的人脸照片中,有几张照片是通过本机当前安装的AI照片合成工具生成,并有对应记录的?(填写数字,答案格式如:1234) (4分)
3
有3条记录
10. [填空题]对手机镜像进行分析,统计出通讯录号码归属地第二多的省份是?(答案格式:广东) (4分)
福建
11. [填空题]对手机镜像进行分析,找出“季令柏”身份证号后4位为?(答案格式:1234) (2分)
8043
没有文件头,补上就行
12. [填空题]对手机镜像进行分析,找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为?(答案格式如:1970-01-01 00:00:00) (2分)
2024-09-20 09:29:40
telegram接收的
13. [填空题]对手机镜像进行分析,机主使用的小众即时通讯应用使用的服务器IP为?(答案格式:127.0.0.1) (2分)
163.179.125.64
14. [填空题]对手机镜像进行分析,机主在哪个平台上发布过转让传奇游戏币的信息,请写出该平台应用APP的包名?(答案格式:com.abcd) (4分)
com.jiuwu
15. [填空题]对手机镜像进行分析,其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少?(填写数字,答案格式如:1234) (4分)
3000
com.snmitool.freenote的data-todo中发现记录了中奖规则
16. [填空题]对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的用户ID为?(答案格式:答案按照实际填写) (2分)
2968704175
3
这里就写了vc的挂载
1. [填空题]对计算机,手机,U盘镜像检材综合分析,找出计算机中VC加密容器使用的登录密钥文件,其中逻辑大小较小的文件占用多少个字节?(答案格式:1234) (4分)
1173
从手机检材中找到VC解密方式,登录密钥文件为桌面上finalshell+winhex的快捷方式
2. [填空题]对计算机,手机,U盘镜像检材综合分析,写出存储的“带彩计划.txt”文件的SM3哈希值前8位;(大写字母与数字组合,如:D23DDF44) (2分)
AF30FFA1
这里是导出后在本地挂载的,先用FTK挂载后,单独导出
3. [填空题]对计算机,手机,U盘镜像检材综合分析,写出存储的“Shakepay买币,提币流程.ppt”文件在当前分区的起始簇号;(填写数字,答案格式如:1234) (4分)
44378
用winhex挂载该分区
公众号
数字侦探社
作者
宇灏
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论