手机取证

题目：

1. 嫌疑人李某的手机型号是？ Xiaomi MI 4
2. 嫌疑人李某是否可能有平板电脑设备，如有该设备型号是？ Xiaomi Pad 6s

3. 嫌疑人李某手机开启热点设置的密码是? 5aada11bc1b5

4. 嫌疑人李某的微信内部ID是？ wxid_wnigmud8aj6j12

5. 嫌疑人李某发送给技术人员的网站源码下载地址是什么 http://www.honglian7001.com/down

6. 受害者微信用户ID是？ limoon890

7.嫌疑人李某第一次连接WIFI的时间是？ 巧用搜索功能，说明wifi连接存在日志，搜索wifi，找到wificonfigstore.xml，发现小米手机，李某的手机

time=03-14 16:55:57.249

8. 分析嫌疑人李某的社交习惯，哪一个时间段消息收发最活跃？16:00-18:00

分析犯罪人的微信聊天记录统计得出

9. 请分析嫌疑人手机，该案件团伙中，还有一名重要参与者警方未抓获，该嫌疑人所使用的微信账号ID为？ sutan_sutan （X） wxid_06f01lnpavn722（√）

做错了，分析聊天记录，是土拨鼠吧李某骗到这个犯罪活动中的，理应来说他应该是重要参与者

10. 请分析嫌疑人手机，嫌疑人老板组织人员参与赌博活动，所使用的国内访问入口地址为？ 好了，国内入口192.168.110.110:8000/login

计算机取证

（1.）通过这次的计算机取证我意识到了取证的逻辑性非常强，是指题与题之间的关联性很强，不像ctf，每个题之间是有关联的，有联系的，上一个解出的密码可能是下一个解题的关键，逻辑性很强，这是我通过这次比赛学到的，(虽然最后成绩不怎么样

（2.）火眼的一个仿真取证，一个分析，两个结合在一起分析，才会有事半功倍的效果，不然会很吃力

题目：

1. 分析技术员赵某的windows镜像，并计算赵某计算机的原始镜像的SHA1值为？

直接火眼计算：FFD2777C0B966D5FC07F2BAED1DA5782F8DE5AD6

2. 分析技术员赵某的windows镜像，疑似VeraCrypt加密容器的文件的SHA1值为？

这一问跟我玩文字游戏，不是vc容器，是被vc加密的文件，也就是相当于赛事下发的镜像文件

2024.fic：B25E2804B586394778C800D410ED7BCDC05A19C8

3. 据赵某供述，他会将常用的密码放置在一个文档内，分析技术员赵某的windows镜像，找到技术员赵某的密码字典，并计算该文件的SHA1值? 文件就是commonpwd.txt

E6EB3D28C53E903A71880961ABB553EF09089007

4. 据赵某供述，他将加密容器的密码隐写在一张图片内，隐写在图片中的容器密码是?

找到一个图片，上面就是密码，但这是隐写吗？ctf经验告诉我这并不是隐写，况且就算去试一试也能发现这个密码不对，真正的密码在这个图片的文件尾(十六进制51页

right password is qwerasdfzxcv

5. 分析技术员赵某的windows镜像，bitlocker的恢复密钥是什么

成功挂载后发现了恢复秘钥，开始顺起来了

404052-011088-453090-291500-377751-349536-330429-257235

6. 分析技术员赵某的windows镜像，bitlocker分区的起始扇区数是：146794496

本身bit的作用就是加密硬盘分区，我们开始分析时已经提示我们有一个加密分区E://,于是通过bit秘钥我们成功解开了加密的e盘

在分区详情里，有关于E盘的起始扇区：146794496

7. 分析技术员赵某的windows镜像，默认的浏览器是

A. Chrome 不多说，火眼分析出来了

8. 分析技术员赵某的windows镜像，私有聊天服务器的密码为 zhao

在浏览器中我们分析道admin@admin是另一个用户的密码，所以是不是他，是zhao

9. 分析技术员赵某的windows镜像，嫌疑人计算机中有疑似使用AI技术生成的进行赌博宣传的图片，该图片中，宣传的赌博网站地址为？

在E盘中，直接看到一个带有网址的图片，就是赌博网址

10. 分析技术员赵某的windows镜像，赵某使用的AI换脸工具名称为？

在火眼分析中发现了这个roop目录，搜罗一番发现是个ai软件，直接锁定

B. ROOP

11. 分析技术员赵某的windows镜像，使用AI换脸功能生成了一张图片，该图片的名称为

db.jpg ；图片为某明星的脸，一眼合成

12. 分析技术员赵某的windows镜像，ai换脸生成图片的参数中–similar-face-distance值为

这个确实没找到，看别的师傅的wp发现使用过powershell（基本信息->终端历史记录）来寻找的，因为ai跑的脚本run.py，找到后发现值=0.85

13. 分析技术员赵某的windows镜像，嫌疑人使用AI换脸功能所使用的原始图片名称为

借用师傅的图，火眼过期了(可恶

14. 分析技术员赵某的windows镜像，赵某与李某沟通中提到的“二维码”解密所用的网站url地址为？

这个就是解密新与佛论禅的网站：http://hi.pcmoe.net/buddha.html

15. 分析技术员赵某的windows镜像，赵某架设聊天服务器的原始IP地址为？

192.168.8.17 通过手机取证发现，计算机取证确定的

16. 分析技术员赵某的windows镜像，据赵某交代，其在窝点中直接操作服务器进行部署，环境搭建好了之后，使用个人计算机登录聊天室进行沟通，请分析赵某第一次访问聊天室的时间为？

通过浏览器访问记录就发现了第一次访问时间

C. 2024-03-14 20:32:08

17. 分析技术员赵某的windows镜像，openwrt的后台管理密码是

首先openwrt是软路由的意思，其次isostore就是一款软路由，这个吃了没文化的亏

在浏览器中保存了网站的密码： hl@7001

18. 分析技术员赵某的windows镜像，嫌疑人可能使用什么云来进行文件存储？

易有云：浏览记录

19. 分析技术员赵某的windows镜像，工资表密码是多少

通过给的字典爆破，就commompwd字典，爆破出密码

aa123456

20. 分析技术员赵某的windows镜像，张伟的工资是多少
28300

服务器取证(这部分没来得及做，先把题目放出来)

题目：

1. esxi服务器的esxi版本为？

6.7 仿真取证跑出来了

配置好了网卡，计算机可以访问了

2. 请分析ESXi服务器，该系统的安装日期为：

A. 2024 年 3 月 12 日 星期二 02:04:15 UTC

3. 请分析ESXi服务器数据存储“datastore”的UUID是？65efb8a8-ddd817f6-04ff-000c297bd0e6

在ESXI管理面板查看存储里面发现没有数据存储，但是有硬盘设备的，说明没有被挂载，先找到硬盘序列化，然后挂载上，不然无法使用

https://www.cnblogs.com/dwj192/p/17021112.html

我们可以通过ssh连接查询：

4. ESXI服务器的原IP地址？
通过刚登陆是时无法访问，说明这是原网站ip ：192.168.8.112

5. EXSI服务器中共创建了几个虚拟机？4

6. 网站服务器绑定的IP地址为？

7. 网站服务器的登录密码为？

8. 网站服务器所使用的管理面板登陆入口地址对应的端口号为：

9. 网站服务器的web目录是？

10. 网站配置中Redis的连接超时时间为多少秒

11. 网站普通用户密码中使用的盐值为

12. 网站管理员用户密码的加密算法名称是什么

A. des

• Rsa
• md5
• bcrypt

1. 网站超级管理员用户账号创建的时间是？

A. 2022-05-09 12:44:41

B. 2022-05-09 13:44:41

C. 2022-05-09 14:44:41

D. 2022-05-09 15:44:41

14. 重构进入网站之后，用户管理下的用户列表页面默认有多少页数据

15. 该网站的系统接口文档版本号为

16. 该网站获取订单列表的接口

17. 受害人卢某的用户ID

18. 受害人卢某一共充值了多少钱

19. 网站设置的单次抽奖价格为多少元

20. 网站显示的总余额数是

21. 网站数据库的root密码

22. 数据库服务器的操作系统版本是

23. 数据库服务器的Docker Server版本是

24. 数据库服务器中数据库容器的完整ID是

25. 数据库服务器中数据库容器使用的镜像ID

26. 数据库服务器中数据库容器创建的北京时间

A. 2024/3/13 12:15:23

B. 2024/3/13 20:15:

C. 2024/3/14 00:15:23

D. 2024/3/13 08:15:23

27. 数据库服务器中数据库容器的ip是

28. 分析数据库数据，在该平台邀请用户进群最多的用户的登录IP是

29. 分析数据库数据，在该平台抢得最多红包金额的用户的登录IP是

30. 数据库中记录的提现成功的金额总记是多少（不考虑手续费）

31. rocketchat服务器中，有几个真实用户？

32. rocketchat服务器中，聊天服务的端口号是？

33. rocketchat服务器中，聊天服务的管理员的邮箱是？

34. rocketchat服务器中，聊天服务使用的数据库的版本号是？

35. rocketchat服务器中，最大的文件上传大小是？（以字节为单位）

36. rocketchat服务器中，管理员账号的创建时间为？

A. 2024/3/14 8:18:54

B. 2024/3/14 8:19:54

C. 2024/3/14 8:17:54

D. 2024/3/14 8:15:54

37. rocketchat服务器中，技术员提供的涉诈网站地址是？

38. 综合分析服务器，该团伙的利润分配方案中，老李的利润占比是多少

39. 综合分析服务器，该团队“杀猪盘”收网的可能时间段为

A. 2024/3/15 15:00:00-16:00:00

B. 2024/3/15 16:00:00-17:00:00

C. 2024/3/15 17:00:00-18:00:00

D. 2024/3/15 18:00:00-19:00:00

40. 请综合分析，警方未抓获的重要嫌疑人，其使用聊天平台时注册邮箱号为？

41. 分析openwrt镜像，该系统的主机名为

42. 分析openwrt镜像，该系统的内核版本为

43. 分析openwrt镜像，该静态ip地址为

44. 分析openwrt镜像，所用网卡的名称为

45. 分析openwrt镜像，该系统中装的docker的版本号为

46. 分析openwrt镜像，nastools的配置文件路径为

47. 分析openwrt镜像，使用的vpn代理软件为

48. 分析openwrt镜像，vpn实际有多少个可用节点

49. 分析openwrt镜像，节点socks的监听端口是多少

50. 分析openwrt镜像，vpn的订阅链接是