?哪里有問題，請及時提醒答案以官方為準

郵箱投送

容器密碼：usy1UN2Mmgram&^d?0E5r9myrk!cmJGr鏈接：https://pan.baidu.com/s/11W3KTP5RveWJkApmDGYuKQ?pwd=f9hj 提取碼：f9hj

---

Android程序分析

1、涉案應用刷刷樂的簽名序列號是[答案：123ca12a][★☆☆☆☆]
答案：11fcf899

2、涉案應用刷刷樂是否包含讀取短信權限[答案：是/否][★★☆☆☆]
答案：否

3、涉案應用刷刷樂打包封裝的調證ID值是[答案：123ca12a][★★☆☆☆]
答案：a6021386163125

因為工具過期了，用一下 XiAnG的圖

4、涉案應用刷刷樂服務器地址域名是[答案：axa.baidun.com][★★★☆☆]
答案：vip.shuadan.com

因為工具過期了，用一下 XiAnG的圖

5、涉案應用刷刷樂是否存在錄音行為[答案：是/否][★★★☆☆]
答案：是
基本信息-安全檢測-惡意行為報告

因為工具過期了，用一下 XiAnG的圖

6、涉案應用未來資產的包名是[答案：axa.baidun.com][★☆☆☆☆]
答案：plus.h5ce4b30d

7、涉案應用未來資產的語音識別服務的調證key值是[答案：1ca2jc][★★☆☆☆]
答案：53feacdd

8、涉案應用未來資產的服務器地址域名是[答案：axa.baidun.com][★★★☆☆]
答案：vip.usdtre.club

因為工具過期了，用一下X的圖

9、涉案應用未來資產的打包封裝的調證ID值是是[答案：axa.baidun.com][★★☆☆☆]

答案：h5ce4b30d

因為工具過期了，用一下X的圖
?

移動智能終端

1、根據容恨寒的安卓手機分析，手機的藍牙物理地址是[答案：B9:8B:35:8B:03:52][★☆☆☆☆]
答案：A9:8B:34:8B:04:50

2、根據容恨寒的安卓手機分析，SIM卡的ICCID是[答案：80891103212348510720][★☆☆☆☆]
答案：89014103211118510720

3、根據容恨寒的安卓手機分析，團隊內部溝通的聊天工具程序名稱是[答案：微信][★☆☆☆☆]
答案：Potato
不要被誤導了注意是內部溝通，不是微信，在找到Potato

4、根據容恨寒的安卓手機分析，團隊內部溝通容恨寒收到的最后一條聊天信息內容是[答案：好的][★★★☆☆]
答案：后面再給你們搞

在工具里面提取出來出現文件為空，所以在平臺找到了包名在提取出來在databases(數據)

在/data/data/com.qim.imm/databases/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db
導出后用Navicat打開，找到一個表

查詢的時候容易出現問題注意

SELECT SENDERNAME,TONAME,SUBJECT,DATE,BODY FROM “BAProvider$j” WHERE TONAME=‘容恨寒’ ORDER BY DATE DESC LIMIT 1篩選出最后一條發送給容恨寒的消息

解base64

5、根據容恨寒的安卓手機分析，收到的刷單.rar的MD5值是[答案：202cb962ac59075b964b07152d234b70][★★☆☆☆]
答案：DC52D8225FD328C592841CB1C3CD1761

直接搜出來刷單.rar后得到文件目錄后到出來使用hasher計算

6、根據容恨寒的安卓手機分析，收到的刷單.rar的解壓密碼是[答案：abcdg@1234@hd][★★★☆☆]
答案：wlzhg@3903@xn

在數據庫里面發現密碼的信息后直接用python腳本爆破

密碼規則：

前五位：wlzhg

末尾兩位：片區簡寫“xn”

中間四位：0-9隨機數組合

參考wlzhg@xxx@xn

7、根據容恨寒的安卓手機分析，發送刷單.rar的用戶的手機號是[答案：15137321234][★★★★☆]
答案：18969939616
根據前面密碼規則那條信息，OWNERNAME為容恨寒

?

9、根據容恨寒的安卓手機分析，MAC的開機密碼是[答案：asdcz][★☆☆☆☆]
答案：apple

記事本里面直接找到

10、根據容恨寒的安卓手機分析，蘋果手機的備份密碼前4位是[答案：1234][★☆☆☆☆]
答案：1976

記事本里面直接找到

11、根據魏文茵蘋果手機分析，IMEI號是？[答案格式:239471000325479][★☆☆☆☆]
答案：358360063200634

報告這里直接找到

12、根據魏文茵蘋果手機分析，可能使用過的電話號碼不包括？[答案格式:A][★☆☆☆☆]
答案：D

一個一個搜搜就可以了

A、18043618705 B、19212175391 C、19212159177 D、18200532661

13、根據臧覓風的安卓手機分析，微信ID是[答案：wxid_av7b3jbaaht123][★☆☆☆☆]
答案：wxid_kr7b3jbooht322

14、根據臧覓風的安卓手機分析，在哪里使用過交友軟件[答案：杭州][★★★☆☆]
答案：西安

看到交友軟件肯定是探探啊

15、根據臧覓風的安卓手機分析，嫌疑人從哪個用戶購買的源碼，請給出出售源碼方的賬號[答案：1234524229][★☆☆☆☆]
答案：5768224669

16、根據臧覓風的安卓手機分析，購買源碼花了多少BTC？[答案：1.21][★☆☆☆☆]
答案：0.08

17、根據臧覓風的安卓手機分析，接收源碼的郵箱是[答案：asdasd666@hotmail.com][★☆☆☆☆]
答案：molihuacha007@hotmail.com

18、嫌疑人容恨寒蘋果手機的IMEI是?[★★☆☆☆]
答案：353271073008914
檢材出了問題湊合著看

19、嫌疑人容恨寒蘋果手機最后備份時間是?[答案格式:2000-01-01 13:36:25][★★☆☆☆]
答案：2023-04-12 21:20:59

檢材出了問題湊合著看

20、嫌疑人容恨寒蘋果手機“易信”的唯一標識符（UUID）？[★★★★☆]
答案：ec677dda-3387-4337-9b44-f7daae4fb29c

檢材出了問題湊合著看

21、嫌疑人容恨寒蘋果手機微信ID是?[★☆☆☆☆]
答案：wxid_peshwv0rosih12

檢材出了問題湊合著看

計算機取證

1、嫌疑人魏文茵計算機的操作系統版本?[答案格式:Windows 7 Ultimate 8603][★☆☆☆☆]
答案：Windows 10 Professional 14393

注意審題 什么系統加版本號英文

2、嫌疑人魏文茵計算機默認的瀏覽器是?[答案格式:A][★☆☆☆☆]
答案： C

仿真出來看

A、Edge B、Internet Explorer C、Google Chrome D、360瀏覽器

3、嫌疑人魏文茵計算機中以下那個文檔不是嫌疑人最近打開過的文檔?[答案格式:A][★☆☆☆☆]
答案：A、

一個一個搜就可以了

A、掠奪攻略 B、工資表.xlsx C、刷單秘籍.docx D、腳本.docx

4、嫌疑人魏文茵計算機中存在幾個加密分區?[答案格式:3個][★★☆☆☆]
答案：1個

因為之前仿真出來了所以直接看發現是 BitLocker

5、嫌疑人魏文茵計算機中安裝了哪個第三方加密容器?[答案格式:VeraCrypt]][★☆☆☆☆]
TrueCrypt

6、接上題，嫌疑人魏文茵計算機中加密容器加密后的容器文件路徑？[答案格式:C:\xxx\xxx][★★☆☆☆]
答案：C:\Users\WH\Documents、

這里注意格式問題

7、嫌疑人魏文茵計算機中磁盤分區BitLocker加密恢復秘鑰為?[答案格式: 000000-000000-000000-000000-000000-000000-000000-000000]][★★★☆☆]
答案：000649-583407-395868-441210-589776-038698-479083-651618
取證大師中對D盤進行卷影分析，原始數據搜索恢復密鑰 注意在導入檢材的時候已經提醒你使用卷影分析了

注意這個不是密碼這是標識符

8、嫌疑人魏文茵計算機中BitLocker加密分區中“攻略.docx”文檔里涉及多少種詐騙方式?[答案格式:11][★☆☆☆☆]
答案：38

仿真出來的系統里面解密了D盤在里面找到

9、投資理財團伙“華中組”目前詐騙收益大約多少?[答案格式:10萬][★★☆☆☆]

可以翻看那兩個源碼還有數據庫

10、通過對嫌疑人魏文茵計算機內存分析，print.exe的PID是？[答案格式:123][★★☆☆☆]
答案：728

11、根據臧覓風的計算機分析，請給出技術人員計算機“zang.E01”的SHA-1?[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★☆☆☆☆]
答案：239F39E353358584691790DDA5FF49BAA07CFDBB

12、根據臧覓風的計算機分析，請給出該技術人員計算機“zang.E01”的總扇區數？[答案格式:100,000,000][★★☆☆☆]
答案：536,870,912

13、根據臧覓風的計算機分析，以下那個文件不是技術人員通過瀏覽器下載的？[答案格式:A][★☆☆☆☆]
答案：D

A、WeChatSetup.exea B、Drive.exe C、Potato_Desktop2.37.zip D、BaiduNetdisk_7.27.0.5.exe

14、根據臧覓風的計算機分析，請給出該技術人員郵件附件“好東西.zip”解壓密碼？[答案格式:abc123][★★★★★]
答案：kangshifu0008
在之前就發現了他購買的源碼那么他是通過郵箱發送的了密碼就是他的郵箱，那么通過之前仿真出來的系統郵箱軟件里面發現目標，為了確定密碼正確就下載出來在驗證也可以

15、根據臧覓風的計算機分析，該技術人員電腦內曾通過遠程管理工具連接過服務器“master.k8s.com”,請給出連接的端口號？[答案格式:22][★★☆☆☆]
答案：2282
?

在仿真出來的系統里面發現SecureCRT打開他找到記錄

16、根據臧覓風的計算機分析，接上題，請給出服務器的密碼？[答案格式:password[★★★★☆]
答案：P@ssw0rd

在文件這里搜xls或者docx這些文檔找到

17、根據臧覓風的計算機分析，據該技術人員交代，其電腦內有個保存各種密碼的txt文件，請找出該文件，計算其MD5值？[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★★★★★]
答案：C1934045C3348EA1BA618279AAC38C67

在這兩個文件都是一樣的

18、根據臧覓風的計算機分析，該技術人員曾使用過加密容器反取證技術，請給出該容器掛載的盤符？[答案格式:A][★☆☆☆☆]
答案：F

19、根據臧覓風的計算機分析，請給出該技術人員電腦內keePass的Master Password？[答案格式:password12#][★★★★☆]
答案：xiaozang123!@#

具

軟件elcomsoft forensic disk decryptor第一次使用這個

20、根據臧覓風的計算機分析，請給出該技術人員所使用的爬蟲工具名稱？[答案格式:xxx][★★☆☆☆]
答案：后羿采集器

在郵箱這里看到，在工具里面也可以找到使用記錄

21、根據臧覓風的計算機分析，接上題，該技術人員通過該采集器一共采集了多少條人員信息數據？[答案格式:10,000][★★★★★]
答案：19,225
在這里可以看到文件是后羿采集器，在臧覓風里面找不到在哪各個查因為爬取的數據肯定是xlsx這些文件

直接導出來看

22、根據臧覓風的計算機分析，以下那個不是該技術人員通過爬蟲工具采集的數據？[答案格式:A][★☆☆☆☆]
答案：C

A、中國證券投資基金業協人員信息B、倉山區市場監督管理局行政執法人員信息

C、清平鎮衛生院基本公共衛生服務 D、倉山區市場監督管理局行政執法人員信息

因為軟件問題所以導出來看了

24、根據臧覓風的計算機分析，請給出該技術人員電腦內代理軟件所使用的端口號？[答案格式:2211][★★☆☆☆]
答案：7890

這里發現代理工具

25、根據臧覓風的計算機分析，接上題，請給出該代理軟件內訂閱鏈接的token？[答案格式:abc1234df334…][★★☆☆☆]
答案：d4029286acc8bfd97818d5f8724f0f0a
?

26、根據臧覓風的計算機分析，請給出該技術人員電腦內用于內部通聯工具的地址和端口？[答案格式:www.baidu.com:1122][★★★☆☆]
答案：im.pgscup.com:6661

仿真出來看到Potato
在容恨寒的安卓手機分析的時候就發現他使用這個進行交流

27、根據臧覓風的計算機分析，請給出該電腦內存鏡像創建的時間（北京時間）？[答案格式:2023-05-06 14:00:00][★☆☆☆☆]
答案：2023-04-27 17:57:53
其實使用這個工具來看也可以看到但是沒搞懂這個軟件怎么使用

28、根據臧覓風的計算機分析，以下那個不是“chrone.exe”的動態鏈接庫？[答案格式:A][★★★★ ☆]
答案：B

A、ntdll.dll B、iertutil.dll C、wow64cpu.dll D、wow64win.dll

還是一樣這個直接看

29、根據臧覓風的計算機分析，請給出“\REGISTRY\MACHINE\SYSTEM”在內存鏡像中的虛擬地址是多少？[答案格式:0xxxxx123…][★★☆☆☆]
答案：0xab861963e000

30、根據臧覓風的計算機分析，據嫌疑人交代，其電腦上曾存打開過一個名為“賬號信息.docx”的文檔，請給出該文檔的最后訪問時間（北京時間）？[答案格式:2023-05-06 14:00:00][★★★★☆]
答案：2023-04-27 17:55:32

注意是docx 不是doc

31.根據臧覓風的計算機分析，接上題，請給出該文檔的存儲路徑？[答案格式:C:\xxx\xxx]

答案：D:\backup\mydata

如上題

32.嫌疑人容恨寒蘋果電腦的系統版本名稱是？[答案格式:注意大小寫]

答案：macOS12.6

33.嫌疑人容恨寒蘋果電腦操作系統安裝日期是？[答案格式:2000-01-01]

答案：2022-10-09 13:11:30

34.嫌疑人容恨寒蘋果電腦的內核版本是？[答案格式:xxxxx 11.0.4，注意大小寫]

答案：Darwin Kernel Version 21.6.0

35.嫌疑人容恨寒蘋果電腦有多少正在運行的后臺程序？[答案格式:20]

不可參考這里講的是在他運行過的程序來看

36.嫌疑人容恨寒蘋果電腦最后一次關機時間（GMT）？[答案格式:2000-01-01 01:00:09]

答案：2023-04-14 15:55:50 +08

37.嫌疑人容恨寒蘋果電腦執行過多少次查詢主機名稱命令？[答案格式:20]

答案：15

38.從嫌疑人容恨寒蘋果電腦中找出“陸文杰”提現金額是？[答案格式:20]

在仿真出來后桌面有這個文件提取出來爆破

39、從嫌疑人容恨寒蘋果電腦中找出嫌疑人容恨寒上午上班時長是？[答案格式:8小時][★★★★☆]
答案：2.5小時

40、從嫌疑人容恨寒蘋果電腦中找出“萬便”的郵箱是？[答案格式:xxx@xxx.xx][★★★★☆]
答案：IxCnq3@yDp.net

42、通過分析得出嫌疑人容恨寒小孩的年齡是？[答案格式:10歲][★★★☆☆]
答案：13歲/14歲

二進制分析

本人不懂二進制所以使用X的圖

1、根據魏文茵的計算機分析，惡意程序加了什么類型的殼[答案：asdcz][★★☆☆☆]
答案：upx

2、根據魏文茵的計算機分析，惡意程序調用了幾個dll[答案：1][★★★☆☆]
答案：5

3、根據魏文茵的計算機分析，惡意程序中send函數被多少個函數調用[答案：1][★★★☆☆]
答案：6

4、根據魏文茵的計算機分析，惡意程序遠控端ip[答案：120.1.2.3][★★☆☆☆]
答案：192.168.8.110

5、根據魏文茵的計算機分析，惡意程序遠控端端口[答案：123][★★☆☆☆]
答案：6069
AI分析_main_0

6、根據魏文茵的計算機分析，惡意程序用到是tcp還是udp[★★★☆☆]
答案：A、tcp
B、udp

7、根據魏文茵的計算機分析，惡意程序能執行幾條命令[答案：123][★★★★☆]
答案：5

8、根據魏文茵的計算機分析，惡意程序加密電腦文件對應是哪個命令[答案：1a][★★★☆☆]
答案：6s

9、根據魏文茵的計算機分析，惡意程序加密哪些后綴文件[★★★☆☆]
答案： A、docx B、xlsx C、pdf D、doc

10、根據魏文茵的計算機分析，編寫該程序電腦的用戶名是[答案：12345][★★★★★]
答案：22383

11、嫌疑人魏文茵計算機中“工資表.xlsx”中，發放工資總金額為：[答案格式:12345]][★★★★★]
答案：44300
程序加密方式為每個字節+1，用Python腳本解密

暗網取證

1、臧覓風電腦使用暗網瀏覽器版本是？[答案格式：10.0.0][★☆☆☆☆]

答案：12.0.4

在之前臧覓風電腦里面發現過一個加密容器，在解密出來后查看盤里面的內容發現這是一個密碼管理的工具里面發現另一個密碼，在標題寫到TC很明顯這是一個TC加密容器密碼

我這里使用vc掛用這個的使用打開tc模式

直接打開找到版本

2、臧覓風電腦使用的暗網瀏覽器歷史記錄中最多瀏覽內容是？[答案格式：制作][★★☆☆☆]

答案：比特幣市場

3、臧覓風電腦使用的暗網網瀏覽器書簽“社工庫”添加的時間是？[答案格式：2000-01-01 01:00:09][★★★★☆]

答案：2022-05-27 21:49:33 +08

4、臧覓風電腦使用的暗網瀏覽器第一次使用時間是？[答案格式：2000-01-01 01:00:09][★★★☆☆] 2023-04-答案：12 10:21:12 +08

5、臧覓風電腦使用的暗網瀏覽器擴展應用中“ftp.js”文件的md5值是？[答案格式：字母小寫][★★★★★]

答案：EA86403D1DE3089B3D32FE5706D552F6

在Tor這里輸入about:support這個代表顯示 配置項查看 在打開后找到extensions直接解壓

物聯取證

1、請給出該軟路由管理的IP地址？[答案格式:192.168.1.1][★☆☆☆☆]

答案：192.168.8.20

直接仿真出來vi /etc/config/network 配置好網絡互連上，不配置好你做不了題

2、請給出該軟路由管理員的密碼？[答案格式:admin123!@#][★★★☆☆]
答案：P@ssw0rd

臧覓風電腦里找到過就不去截圖了名字叫賬戶信息.docx

ip問題是因為我改成我的

3、請給出阿里云WebDAV的token？[答案格式:bac123sasdew3212…][★★☆☆☆]
答案：afc455bdc29a45b18f3bae5048971e76

4、請給出該軟路由所用機場訂閱的token？[答案格式:bac123sasdew3212…][★★☆☆☆]
答案：502f6affe3c7deb071d65fb43effc06d

5、請給出該軟路由數據卷的UUID？[答案格式:8adn28hd-00c0c0c0…][★★☆☆☆]
答案：9a89a5ec-dae6-488a-84bf-80a67388ff37
blkid，找到label=“data”

6、請給出該軟路由的共享路徑？[答案格式:/home/data][★★☆☆☆]
答案：/mnt/data
命令cat /etc/samba/smb.conf 這里其實在網站里面就可以看到共享

服務器取證

這里不要被誤導了，這里還是物聯網的鏡像開始，系統文件不是服務器那個文件夾的鏡像 密碼是admin/admin

rclone那里有 在/mnt/data/IM找到Windows Server虛擬機文件

這里有一個加密系統密碼是 123w.pgscup.com 進去的密碼 P@ssw0rd

注意這里密碼的細節就不搞了

https://blog.csdn.net/Grignard_/article/details/130592473

1.請給出IM服務器的當前Build版本？(答案格式:11111)(★☆☆☆☆)

答案：17763

2.請給出IM聊天服務的啟動密碼？(答案格式:3w.Baidu.com)(★★★★★) 123w.pgscup.com

答案：123w.pgscup.com

3.請給出該聊天服務器所用的PHP版本？(答案格式:7.2.5)(★★★★☆) 7.4.32

答案：7.4.32

得知路徑

4.請給出該服務器所用的數據庫類型及版本？(答案格式:mysql 5.7.1)(★★★★★) mariadb 10.4.12

答案：mariadb 10.4.12

這里找不到mysql就直接上Everything

5、請給出該服務器MySQL數據庫root賬號的密碼？[答案格式:3w.baidu.com][★★★★★]
答案：www.upsoft01.com

這里找配置文件/im_webserver/htdocs/Application/Common/Conf目錄找到config.php

6、請給該IM服務器內當前企業所使用的數據庫？[答案格式:admin_admin][★★★★☆]

答案：antdbms_ustdreclub

在保存mysql.exe路徑里面使用mysql - u root -p 連接數據庫，前提條件在啟動數據庫cmd的start

連接mysql改登錄密碼

7、請給出該組織“usdtreclub”內共有多少個部門（不含分區）？[答案格式:1][★★★☆☆]
答案：5

這里改密碼替換md5值 e10adc3949ba59abbe56e057f20f883e 這是123456

8、客戶端消息傳輸采用哪種加密形式？[答案格式:A][★★☆☆☆]
答案：B

A、AES128
B、AES256
C、DES
D、Base64

9、以下那個不是此系統提供的應用？[答案格式:A][★★☆☆☆]
答案：d

A、云盤
B、審批
C、會議
D、考勤

10、請給出“ 2023-04-11 21:48:14”登錄成功此系統的用戶設備MAC地址？[答案格式:08-AA-33-DF-1A][★★★☆☆]
答案：80-B6-55-EF-90-8E

看好這里是幾月

11、請給出用戶“盧正文”的手機號碼？[答案格式:13888888888][★★★★☆]
答案：13580912153

集群服務器取證

目錄

Android程序分析

移動智能終端

二進制分析

暗網取證

物聯取證

服務器取證

集群服務器取證

---

這里我就不寫了因為太麻煩了去參考這位師傅的 參考師傅wp https://blog.csdn.net/Grignard_/article/details/130592473

總結

以上是生活随笔為你收集整理的复盘首届盘古石杯全国电子数据取证大赛晋级赛write up的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。