手机取证

题目:

  1. 嫌疑人李某的手机型号是? Xiaomi MI 4
  2. 嫌疑人李某是否可能有平板电脑设备,如有该设备型号是? Xiaomi Pad 6s

3. 嫌疑人李某手机开启热点设置的密码是? 5aada11bc1b5

4. 嫌疑人李某的微信内部ID是? wxid_wnigmud8aj6j12

5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么 http://www.honglian7001.com/down

6. 受害者微信用户ID是? limoon890

7.嫌疑人李某第一次连接WIFI的时间是? 巧用搜索功能,说明wifi连接存在日志,搜索wifi,找到wificonfigstore.xml,发现小米手机,李某的手机

time=03-14 16:55:57.249

8. 分析嫌疑人李某的社交习惯,哪一个时间段消息收发最活跃?16:00-18:00

分析犯罪人的微信聊天记录统计得出

9. 请分析嫌疑人手机,该案件团伙中,还有一名重要参与者警方未抓获,该嫌疑人所使用的微信账号ID为? sutan_sutan (X) wxid_06f01lnpavn722(√)

做错了,分析聊天记录,是土拨鼠吧李某骗到这个犯罪活动中的,理应来说他应该是重要参与者

10. 请分析嫌疑人手机,嫌疑人老板组织人员参与赌博活动,所使用的国内访问入口地址为? 好了,国内入口192.168.110.110:8000/login

计算机取证

(1.)通过这次的计算机取证我意识到了取证的逻辑性非常强,是指题与题之间的关联性很强,不像ctf,每个题之间是有关联的,有联系的,上一个解出的密码可能是下一个解题的关键,逻辑性很强,这是我通过这次比赛学到的,(虽然最后成绩不怎么样

(2.)火眼的一个仿真取证,一个分析,两个结合在一起分析,才会有事半功倍的效果,不然会很吃力

题目:

1. 分析技术员赵某的windows镜像,并计算赵某计算机的原始镜像的SHA1值为?

直接火眼计算:FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

2. 分析技术员赵某的windows镜像,疑似VeraCrypt加密容器的文件的SHA1值为?

这一问跟我玩文字游戏,不是vc容器,是被vc加密的文件,也就是相当于赛事下发的镜像文件

2024.fic:B25E2804B586394778C800D410ED7BCDC05A19C8

3. 据赵某供述,他会将常用的密码放置在一个文档内,分析技术员赵某的windows镜像,找到技术员赵某的密码字典,并计算该文件的SHA1值? 文件就是commonpwd.txt

E6EB3D28C53E903A71880961ABB553EF09089007

4. 据赵某供述,他将加密容器的密码隐写在一张图片内,隐写在图片中的容器密码是?

找到一个图片,上面就是密码,但这是隐写吗?ctf经验告诉我这并不是隐写,况且就算去试一试也能发现这个密码不对,真正的密码在这个图片的文件尾(十六进制51页

right password is qwerasdfzxcv

5. 分析技术员赵某的windows镜像,bitlocker的恢复密钥是什么

成功挂载后发现了恢复秘钥,开始顺起来了

404052-011088-453090-291500-377751-349536-330429-257235

6. 分析技术员赵某的windows镜像,bitlocker分区的起始扇区数是:146794496

本身bit的作用就是加密硬盘分区,我们开始分析时已经提示我们有一个加密分区E://,于是通过bit秘钥我们成功解开了加密的e盘

在分区详情里,有关于E盘的起始扇区:146794496

7. 分析技术员赵某的windows镜像,默认的浏览器是

A. Chrome 不多说,火眼分析出来了

8. 分析技术员赵某的windows镜像,私有聊天服务器的密码为 zhao

在浏览器中我们分析道admin@admin是另一个用户的密码,所以是不是他,是zhao

9. 分析技术员赵某的windows镜像,嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片,该图片中,宣传的赌博网站地址为?

在E盘中,直接看到一个带有网址的图片,就是赌博网址

10. 分析技术员赵某的windows镜像,赵某使用的AI换脸工具名称为?

在火眼分析中发现了这个roop目录,搜罗一番发现是个ai软件,直接锁定

B. ROOP

11. 分析技术员赵某的windows镜像,使用AI换脸功能生成了一张图片,该图片的名称为

db.jpg ;图片为某明星的脸,一眼合成

12. 分析技术员赵某的windows镜像,ai换脸生成图片的参数中--similar-face-distance值为

这个确实没找到,看别的师傅的wp发现使用过powershell(基本信息->终端历史记录)来寻找的,因为ai跑的脚本run.py,找到后发现值=0.85

13. 分析技术员赵某的windows镜像,嫌疑人使用AI换脸功能所使用的原始图片名称为

借用师傅的图,火眼过期了(可恶

14. 分析技术员赵某的windows镜像,赵某与李某沟通中提到的“二维码”解密所用的网站url地址为?

这个就是解密新与佛论禅的网站:http://hi.pcmoe.net/buddha.html

15. 分析技术员赵某的windows镜像,赵某架设聊天服务器的原始IP地址为?

192.168.8.17 通过手机取证发现,计算机取证确定的

16. 分析技术员赵某的windows镜像,据赵某交代,其在窝点中直接操作服务器进行部署,环境搭建好了之后,使用个人计算机登录聊天室进行沟通,请分析赵某第一次访问聊天室的时间为?

通过浏览器访问记录就发现了第一次访问时间

C. 2024-03-14 20:32:08

17. 分析技术员赵某的windows镜像,openwrt的后台管理密码是

首先openwrt是软路由的意思,其次isostore就是一款软路由,这个吃了没文化的亏

在浏览器中保存了网站的密码: hl@7001

18. 分析技术员赵某的windows镜像,嫌疑人可能使用什么云来进行文件存储?

易有云:浏览记录

19. 分析技术员赵某的windows镜像,工资表密码是多少

通过给的字典爆破,就commompwd字典,爆破出密码

aa123456

20. 分析技术员赵某的windows镜像,张伟的工资是多少
28300

服务器取证(这部分没来得及做,先把题目放出来)

题目:

1. esxi服务器的esxi版本为?

6.7 仿真取证跑出来了

配置好了网卡,计算机可以访问了

2. 请分析ESXi服务器,该系统的安装日期为:

A. 2024 年 3 月 12 日 星期二 02:04:15 UTC

3. 请分析ESXi服务器数据存储“datastore”的UUID是?65efb8a8-ddd817f6-04ff-000c297bd0e6

在ESXI管理面板查看存储里面发现没有数据存储,但是有硬盘设备的,说明没有被挂载,先找到硬盘序列化,然后挂载上,不然无法使用

https://www.cnblogs.com/dwj192/p/17021112.html

我们可以通过ssh连接查询:

4. ESXI服务器的原IP地址?
通过刚登陆是时无法访问,说明这是原网站ip :192.168.8.112

5. EXSI服务器中共创建了几个虚拟机?4

6. 网站服务器绑定的IP地址为?

7. 网站服务器的登录密码为?

8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为:

9. 网站服务器的web目录是?

10. 网站配置中Redis的连接超时时间为多少秒

11. 网站普通用户密码中使用的盐值为

12. 网站管理员用户密码的加密算法名称是什么

A. des

  • Rsa
  • md5
  • bcrypt
  1. 网站超级管理员用户账号创建的时间是?


A. 2022-05-09 12:44:41

B. 2022-05-09 13:44:41

C. 2022-05-09 14:44:41

D. 2022-05-09 15:44:41

14. 重构进入网站之后,用户管理下的用户列表页面默认有多少页数据

15. 该网站的系统接口文档版本号为

16. 该网站获取订单列表的接口

17. 受害人卢某的用户ID

18. 受害人卢某一共充值了多少钱

19. 网站设置的单次抽奖价格为多少元

20. 网站显示的总余额数是

21. 网站数据库的root密码

22. 数据库服务器的操作系统版本是

23. 数据库服务器的Docker Server版本是

24. 数据库服务器中数据库容器的完整ID是

25. 数据库服务器中数据库容器使用的镜像ID

26. 数据库服务器中数据库容器创建的北京时间

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

27. 数据库服务器中数据库容器的ip是

28. 分析数据库数据,在该平台邀请用户进群最多的用户的登录IP是

29. 分析数据库数据,在该平台抢得最多红包金额的用户的登录IP是

30. 数据库中记录的提现成功的金额总记是多少(不考虑手续费)

31. rocketchat服务器中,有几个真实用户?

32. rocketchat服务器中,聊天服务的端口号是?

33. rocketchat服务器中,聊天服务的管理员的邮箱是?

34. rocketchat服务器中,聊天服务使用的数据库的版本号是?

35. rocketchat服务器中,最大的文件上传大小是?(以字节为单位)

36. rocketchat服务器中,管理员账号的创建时间为?

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

37. rocketchat服务器中,技术员提供的涉诈网站地址是?

38. 综合分析服务器,该团伙的利润分配方案中,老李的利润占比是多少

39. 综合分析服务器,该团队“杀猪盘”收网的可能时间段为

A. 2024/3/15 15:00:00-16:00:00

B. 2024/3/15 16:00:00-17:00:00

C. 2024/3/15 17:00:00-18:00:00

D. 2024/3/15 18:00:00-19:00:00

40. 请综合分析,警方未抓获的重要嫌疑人,其使用聊天平台时注册邮箱号为?

41. 分析openwrt镜像,该系统的主机名为

42. 分析openwrt镜像,该系统的内核版本为

43. 分析openwrt镜像,该静态ip地址为

44. 分析openwrt镜像,所用网卡的名称为

45. 分析openwrt镜像,该系统中装的docker的版本号为

46. 分析openwrt镜像,nastools的配置文件路径为

47. 分析openwrt镜像,使用的vpn代理软件为

48. 分析openwrt镜像,vpn实际有多少个可用节点

49. 分析openwrt镜像,节点socks的监听端口是多少

50. 分析openwrt镜像,vpn的订阅链接是