veracrypt挂载 密码2b26ba7ed35d622d8ec19ad0322abc52160ddbfa
使用工具
综合分析
- 取证大师
- 美亚手机大师
镜像仿真
- 平航仿真软件
文本分析
- 010editor
- vscode
apk分析
- jadx
- 云沙箱网站
数据库工具
- DB Browser for SQLite
- DB Browser for SQLite cipher
- navicat16
- forensicstool
内存取证工具
- Volatility3
杂项
- cyberchef 进行解密
APK取证
分析伏季雅的手机检材,手机中诈骗APP的包名是
答案格式:abc.abc.abc,区分大小写
2024-04-25-09-53-24
分析义言的手机检材,分析团队内部使用的即时通讯软件,该软件连接服务器的地址是
** app_webview/ 文件夹**
-
路径:
./app_webview/ -
内容:WebView 缓存,可能包含 HTTP 请求记录。
-
操作:
检查Cookies、Local Storage或IndexedDB中的网络请求痕迹。DB-browser打开,
192.168.137.97
接上题,该软件存储聊天信息的数据库文件名称是
答案格式:abc.abc,区分大小写
刚开始直接进databases找没有,
aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db
顺带一提这个base64解密后就是IP
接上题,该即时通讯软件中,团队内部沟通群中,一共有多少个用户
6
接上题,该即时通讯应用的版本号是
直接看控制面板是5.7.0不对
app.db
2.15.0
接上题,该即时通讯应用中,团队内部沟通中曾发送了一个视频文件,该视频文件发送者的用户名是
files表找post_id post表找user_id user表找名称
yiyan
接上题,分析该即时通讯的聊天记录,团队购买了一个高性能显卡,该显卡的显存大小是
复现的时候网站换源了
24G
分析义言的手机检材,手机中装有一个具备隐藏功能的APP,该APP启动设置了密码,设置的密码长度是多少位
这个很难
解密方法在这个
Rny48Ni8aPjYCnUI
/F:/data/data/com.hld.anzenbokusufake/shared_prefs/share_privacy_safe.xml并进行解密
接上题,分析上述隐藏功能的APP,一共隐藏了多少个应用
用带cipher的sqlitebrowser打开,还要注意sqicipher3才能打开(这东西比赛谁做得出来)
5
接上题,分析上述隐藏功能的APP,该APP一共加密了多少个文件
5
注意这里解出BitLocker恢复密钥会在下面计算机取证非常顺畅
接上题,分析上述隐藏功能的APP,该APP加密了一份含有公民隐私信息的文件,该文件的原始名称是
公民信息.xlsx
分析义言的手机检材,马伟的手机号码是
18921286666
分析义言的手机检材,手机中存有一个BitLocker恢复密钥文件,文件已被加密,原始文件的MD5值是
497f308f66173dcd946e9b6a732cd194
计算机取证
分析伏季雅的计算机检材,计算机最后一次错误登录时间
答案格式:2024−01−01−04−05−06
分析伏季雅的计算机检材,计算机中曾经浏览过的电影名字是
答案格式:《奥本海默》
《坠落的审判》
分析伏季雅的计算机检材,计算机中团队内部即时通讯软件的最后一次打开的时间是
答案格式:2024−01−01−04−05−06
2024-04-26-17-13-02
分析伏季雅的计算机检材,计算机中有一款具备虚拟视频功能的软件,该软件合计播放了多少个视频
仿真(用的平航,不知道为什么我自己的跑不起来)
1
接上题,该软件的官网地址是
接上题,该软件录制数据时,设置的帧率是
15
分析伏季雅的计算机检材,在团队内部使用的即时通讯软件中,其一共接收了多少条虚拟语音
4
分析毛雪柳的计算机检材,计算机插入三星固态盘的时间是
这题时间在不同软件中是存在差别的,题目有小问题
2024-04-25-19-08-08
分析毛雪柳的计算机检材,计算机操作系统当前的Build版本是
19045
分析毛雪柳的计算机检材,团队内部使用的即时通讯软件在计算机上存储日志的文件名是
最近访问文档
main.log
分析毛雪柳的计算机检材,伏季雅一月份实发工资的金额是
maoxl2024!%*!
11200
分析毛雪柳的计算机检材,该团伙三月份的盈余多少
158268
分析义言的计算机检材,计算机连接过的三星移动硬盘T7的序列号是
SN(Serial Number)
S6TWNS0RB02721X
分析义言的计算机检材,计算机的最后一次正常关机时间是
2024-04-28-18-51-56
分析义言的计算机检材,曾经使用工具连接过数据库,该数据库的密码是
root
分析义言的计算机检材,计算机中安装的xshell软件的版本号是
跑一下仿真,在控制面版看
Build-0157 DID的答案是错的,不管
分析义言的计算机检材,曾使用shell工具连接过服务器,该服务器root用户的密码
如果APK那里解密出了我们就可以进行解密了
337469-693121-682748-288772-440682-300223-203698-553124
root
分析义言的计算机检材,计算机曾接收到一封钓鱼邮件,该邮件发件人是
838299176@qq.com
接上题,钓鱼邮件中附件的大小是多少MB
2.4
接上题,上述附件解压运行后,文件的释放位置是
C:\Windows\Temp
接上题,恶意木马文件的MD5值是
f539aab0af03836e73ec1727db8a6d50
接上题,恶意木马文件的回连IP地址是
192.168.137.77:80
分析义言的计算机检材,计算机中保存的有隐写痕迹的文件名
a78bd8b5bec5f60380782bd674c7443p.bmp
分析义言的计算机检材,保存容器密码的文件大小是多少字节
20
分析义言的计算机内存检材,该内存镜像制作时间(UTC+8)是
跑内存分析啊,用volatility3跑
python vol.py -f "A:\嫌疑人\义言\计算机\memdump.mem" windows.info
2024-04-25-22-18
分析义言的计算机内存检材,navicat.exe的进程ID是
python vol.py -f "A:\嫌疑人\义言\计算机\memdump.mem" windows.pslist
跑出来9336
人工智能部分
大胆!如果D盘bitlocker没解出来那么多题都别做了!人工智能的东西都在D盘里呢
分析义言的计算机检材,一共训练了多少个声音模型
4
分析义言的计算机检材,声音模型voice2,一共训练了多少条声音素材
17
分析义言的计算机检材,声音模型voice3,一共训练了多少轮
熟悉的话看模型中e的轮数就可以了
8
分析义言的计算机检材,声音克隆工具推理生成语音界面的监听端口是
根据之前使用过的记忆来说,我们只需要跑起来webUI推理即可
9872
下一道题有些难,水平不够我写不出脚本(
后面换脸AI部分就是简单的翻找就行,这里直接过了
IM服务器部分
这里可以参考一下[西电wp]((https://forensics.xidian.edu.cn/wiki/PGS2024Preliminary/#_14
)
我们直接起一个NAT或桥接网络的虚拟机,开启了DHCP,用shell工具连接即可,
分析内部IM服务器检材,在搭建的内部即时通讯平台中,客户端与服务器的通讯端口是
8065
分析内部IM服务器检材,该内部IM平台使用的数据库版本是
服务器中跑着一个docker容器,交互模式进入到容器中
docker-entry.sh 
PostfgreSQL和MatterMost的配置文件信息传递已知
PostgreSQL官方Docker镜像通过环境变量传递配置,我们查看env
psql --version
12.18
分析内部IM服务器检材,该内部IM平台中数据库的名称是
上题就出来了
mattermost_test
分析内部IM服务器检材,该内部IM平台中当前数据库一共有多少张表
docker inspect看进程具体信息
先通过navicat写好ssh的配置文件再写postgreSQL的配置文件连接上数据库
82
分析内部IM服务器检材,员工注册的邀请链接中,邀请码是
USERS表中我们找到管理员账户
54d916mu6p858bbyz8f88rmbmc
分析内部IM服务器检材,用户yiyan一共给fujiya发送了几个视频文件
登录一下yiyan的账号
2
分析内部IM服务器检材,用户yiyan在团队群组中发送的视频文件的MD5值是
f8adb03a25be0be1ce39955afc3937f7
分析内部IM服务器检材,一个团队中允许的最大用户数是
50
分析内部IM服务器检材,黑客是什么时候开始攻击
控制台可看服务器日志,密码爆破
2024-04-25-07-33
Web服务器部分
仿真后进入
分析网站服务器检材,网站搭建使用的服务器管理软件当前版本是否支持32位系统
backup.sh和存放备份文件的backup目录
install.sh,查看发现是宝塔面板安装脚本,重新设置密码后登录查看信息
否
分析网站服务器检材,数据库备份的频率是一周多少次
计划任务中
1
老登那搞来的图
分析网站服务器检材,数据库备份生成的文件的密码是
根据backup.sh中反向生成
|
|
IvPGP/8vfTLtzQfJTmQhYg==
复现ing