前言
每个队创建自己的wp文档,最后整理为word文件
标记为*的题目是未解出答案或者答案不确定的
贴一个爬题目的脚本
点击展开
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
import requests
import json
# 要手动改的地方
list_url = "http://47.107.51.216/api/ctf/v3/competition-forensics/96/category/paper/list"
question_url = "http://47.107.51.216/api/ctf/v3/competition-forensics/96/%d/questions"
cookies = {
"acw_tc": "0adc26de17468908528362887e439c61c3aba6084e3ac3923e091063d69315",
"SESSION": "MDNlNDBmNDctNGE5Ni00ZmFkLWJkMzctZWRkMzRmYmEzOTFh"
}
# 获取题目分类
res = requests.get(list_url, cookies=cookies)
list_info = res.json()["data"]
# 爬取各分类题目
f = open("question.txt", "w")
for theme in list_info:
# 分类标题
f.write(theme["name"]+"\n")
# 爬取题目
url = question_url % theme["id"]
res = requests.get(url, cookies=cookies)
questions = res.json()["data"]
cnt = 1
for question in questions:
# tmp = "%s (%d分)\n"
tmp = "%d、%s (%d分)\n"
# f.write(tmp % (question["id"], question["name"], question["score"]))
f.write(tmp % (cnt, question["name"].split("\r\n")[0], question["score"]))
cnt += 1
f.write("\n")
案件详情
赛后才放了出来…
月光穿过百叶窗,在书房地板上投下斑驳光影。钟无声站在智能锁前,手指轻触屏幕,几行代码在掌中屏闪过,门锁悄然开启。
他环视书房,檀木书架堆满文件夹,落地台灯将影子拉得老长。拉开抽屉时,玉兰香从窗台飘入,混合着线香余韵。钟无声翻动文件,指尖划过烫金账本时,书房门轴发出轻微响动。
贾韦码站在门口,手中还攥着车钥匙。钟无声合上账本的动作很慢,窗外巡逻车的灯光扫过波斯地毯。当喉结在贾韦码颈间滑动时,玉兰花瓣正落在血渍边缘。
书房恢复寂静,落地灯将钟无声的影子投在紧闭的智能锁上,像一幅静止的画。
在诈骗团伙中,贾韦码和钟无声是两个核心人物。贾韦码因违反保密协议,被钟无声盯上了。一天深夜,钟无声利用智能锁的漏洞,悄无声息地潜入贾韦码家中。他四处搜寻账本,但一无所获。就在他准备离开时,贾韦码回来了。钟无声一把抓住他,逼问账本的下落。贾韦码惊恐万分,最终在威胁下说出了藏匿之处。钟无声拿到账本后,为了灭口,残忍地杀害了贾韦码。随后,他带着账本消失在夜色中,留下一个血腥的现场
vr密码:9f8L2kP7mQv3RzX1tB5n6yH4CwJp9TqEa2rF1xSbD0LcKjZ
检材密码:
01tn0GdE0]BF00pT0T&f00&u0k-q0Up41UhA00N,0\-L0kRr0j-p0T&R1F&=0\Ni1GR]
题目和分数
点击展开
手机取证 Mobile Forensics
1、分析安卓手机检材,手机的IMSI是?[答案格式:660336842291717] (1分)
2、养鱼诈骗投资1000,五天后收益是?[答案格式:123] (1分)
3、分析苹果手机检材,手机的IDFA是?[答案格式:E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17] (2分)
4、Telegram应用的卸载时间是?[答案格式:2023-01-22-17:37:50] (2分)
5、机主hotmail邮箱地址是?[答案格式:123345@hotmail.com] (2分)
6、苹果电脑开机密码是?[答案格式:12345] (4分)
7、Telegram加密通讯中,加密聊天信息用到的第二个解密载体是?[答案格式:123.zip] (4分)
8、贾韦码的内部代号是?[答案格式:77] (5分)
9、特快专递的收货地址是?[标准格式:老牛市快速路11号ADE公司] (5分)
APK取证 APK Forensics
1、分析安卓检材,远控工具包名是?[标准格式:com.app.cpp] (2分)
2、远控工具中继服务器IP是?[标准格式:192.168.11.11] (2分)
3、远控工具ID服务器端口是?[标准格式:8088] (2分)
4、远控工具中继服务器Key是?[标准格式:HoTwGxUuV9OxSSEWRFsr1DVxQBkbbFRe0ImYMTlzyec=] (2分)
5、远控工具中收藏的远程ID是?[标准格式:123456] (2分)
6、远程控制该手机的手机型号是?[标准格式:huawei-Hot] (2分)
7、监听工具包名是?[标准格式:com.app.cpp] (2分)
8、监听工具代码主入口是?[标准格式:com.app.cpp.MainActidddy] (2分)
9、监听工具的签名算法是?[标准格式:AES123RSA ] (1分)
10、监听工具运行多少秒后会跳转成黑色幕布?[标准格式:3.000] (3分)
11、监听工具运行后,黑色幕布上字符串是?[标准格式:aes取证平台] (4分)
12、监听工具检测到多少分贝开始录音?[标准格式:30] (4分)
13、监听工具录音连续几秒没有检测到声音停止录音?[标准格式:3] (4分)
14、监听工具保存文件存储路径的数据库名称是?[标准格式:sqlite.db] (2分)
15、监听工具保存录像文件的文件夹是?[标准格式:file] (4分)
16、监听工具数据库中保存音视频文件的路径使用什么加密?[标准格式:Rsa] (5分)
17、录音的文件采用什么加密方式?[标准格式:RC4-123] (5分)
18、录像文件加密秘钥的最后一位是?[标准格式:0x6A] (5分)
19、原始文件md5为3b4d****55ae的创建时间是?[标准格式:2024-2-14-16:32:8] (5分)
计算机取证 Computer Forensics
1、分析贾韦码计算机检材,计算机系统Build版本为?【标准格式:19000】 (1分)
2、计算机最后一次正常关机的时间为?UTC +0【标准格式:2025-05-06 09:00:00】 (1分)
3、计算机网卡的MAC地址为?【标准格式:00-0B-00-A0-00-00】 (1分)
4、计算机用户“贾韦码” 安全标识符SID为?【标准格式:S-X-X-X-X-X-X-X】 (1分)
5、计算机默认浏览器为?【标准格式:Mozilla Firefox】 (1分)
6、计算机默认浏览器版本为?【标准格式:000.0.0000.00】 (1分)
7、机主通过浏览器搜索国外社交软件为?【标准格式:Whatsapp】 (1分)
8、机主的邮箱账号为?【标准格式:pgscup@pgs.com】 (3分)
9、计算机装过一款反取证软件为?【标准格式:EnCrypt.exe】 (1分)
10、计算机通过Xshell远程连接的ip地址为?【标准格式:127.0.0.1】 (1分)
11、机主曾买过一个美国的TG账号,请给该账号的原两步验证密码?【标准格式:8位数字】 (2分)
12、给出其电脑内加密容器的解密密码?【标准格式:Abc@123】 (5分)
13、给出其电脑内加密容器挂载的盘符?【标准格式:C】 (3分)
14、给出其电脑内存放了多少张伪造身份证?【标准格式:10】 (4分)
15、找出任敏的身份证编号?【标准格式:18位】 (4分)
16、找出其电脑内存放的密钥文件,计算其MD5?【标准格式:字母小写】 (5分)
17、找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容?【标准格式:第3届pgscup】 (5分)
18、对macOS系统进行解析,登陆的电子邮件服务是谁提供的?【标准格式:pgscup】 (1分)
19、系统备忘录的包名是什么?【标准格式:com.dfefef.note】 (2分)
20、图片中隐藏的内容是什么?【标准格式:隐藏内容 厨子戏子痞子】 (4分)
21、被加密文件的扩展名是什么?【标准格式:123】 (1分)
22、被加密的文件总共有几个?【标准格式:5】 (5分)
23、贾韦码家使用的智能门锁品牌型号是什么?【标准格式:小米X号】
What is the brand and model of the smart lock used in Jia Wei Ma(贾韦码)’s home? [Answer example: 小米X号] (5分)
EXE取证 PE Binary Forensics
1、分析Windows木马,其控制端ip是?[标准格式:192.168.1.11] (2分)
2、软件会复制自身到哪个文件夹下?[标准格式:DaTa] (2分)
3、接上题,复制后软件名称是?[标准格式:AppTmp.exe] (3分)
4、软件一共可以窃取多少种浏览器的信息?[标准格式:3] (4分)
5、软件查询安装的杀毒软件出错或异常会返回什么字符串?[标准格式:Apps] (3分)
苹果应用取证 macOS Apps Forensics
1、对mac电脑中的加密程序进行分析,使用了一个特定的数作为密钥生成的种子,请问这个数是什么?【标准格式:1234】 (4分)
2、分析文件头部元素并确定它们的正确顺序。将字段名称按顺序连接并提交?【标准格式:字段1_字段2_字段3…】 (5分)
3、密钥派生过程中使用了几个算法步骤。其中一个函数使用了与其实际功能不符的名称。找出这个函数名并提交?【标准格式:函数名】 (5分 )
4、程序中实现了一个故意减慢加密过程的机制,延迟值是多少?【标准格式:1.1】 (5分)
5、程序中隐藏了一个版本标识符,请找出版本号?【标准格式:v1.1.1】 (5分)
服务器取证 Server Forensics
1、分析服务器检材,找出服务器系统启动盘的GUID?【标准格式:数字、字母、-的组合,字母大写】 (1分)
2、找出服务器网关IP?【标准格式:1.1.1.1】 (1分)
3、找出服务器数据盘的文件系统格式?【标准格式:ntfs】 (1分)
4、找出服务器数据盘的解密密钥文件名?【标准格式:abcd】 (1分)
5、找出服务器密码?【标准格式:key@123】 (3分)
6、找出服务器版本号?【标准格式:0.0.0】 (1分)
7、找出服务器内Docker虚拟硬盘位置?【标准格式:/home/abc/adc.raw】 (2分)
8、找出服务器启动盘的启动标识?【标准格式:D100,写出型号即可】 (3分)
9、找出服务器内共有多少个容器镜像?【标准格式:10】 (2分)
10、找出服务器内网站服务器所用数据库运行的容器名?【标准格式:abc-abc-1】 (3分)
11、找出服务器内虚拟币容器对外暴露的端口号?【标准格式:8000】 (3分)
12、找出投资理财网站的域名?【标准格式:3w.baidu.com】 (3分)
13、找出投资理财网站内连接数据库的密码?【标准格式:password】 (3分)
14、找出投资理财网站后台访问地址?【标准格式:http://www.baidu.com/login.html】 (4分)
15、找出投资理财网站会员等级设置存放在那个数据库表内?【标准格式:user】 (3分)
16、找出投资理财网站提现成功的金额?【标准格式:10000】 (4分)
17、找出投资理财网站内用户王欣的银行卡号?【标准格式:16位数字】 (4分)
18、找出投资理财网站用户的最低提现金额?【标准格式:10000】 (5分)
19、给出存放投资理财用户表内clock为0表示用户处于那种状态?【标准格式:核实】 (5分)
20、找出投资理财网站内通过支付宝支付充值状态为未支付的金额?【标准格式:10000】 (5分)
21、对贾韦码计算机进行分析,账本系统使用的web框架是什么?【标准格式:Django】 (2分)
22、对账本系统进行分析,账本使用的数据库版本是多少?【标准格式:1.1.1】 (1分)
23、对账本系统进行分析,使用的数据库名称是?【标准格式:test】 (2分)
24、对账本系统进行分析,用户手机号码在数据库中的加密方法是?【标准格式:xor-325-dfg】 (4分)
25、分析crypto.js中的_0x3ad7函数,找出返回加密数据的编码格式?【标准格式:ascii】 (5分)
26、分析crypto.js中的_0x3ad7函数,找出使用异常作为控制流的触发语句?【标准格式:Test:connec】 (5分)
27、分析keyManager.js中initializeKeys`函数的密钥获取优先级是什么?【标准格式:我是谁>我是谁>我是谁】 (5分)
28、对账本系统进行分析,账本记录的用户总数是多少?【标准格式:1234】 (5分)
29、对账本系统进行分析,身份证号“430014197812200986”用户的投资金额是多少?【标准格式:111111】 (5分)
30、对账本系统进行分析,姓名为明凤英的客户共有几人?【标准格式:1】 (3分)
物联网取证 IOT Forensics
1、分析冰箱,请问智能冰箱的品牌?【标准格式:xiaomi】 (2分)
2、请问智能冰箱的型号?【标准格式:MiFridge2024】 (1分)
3、请找智能冰箱的uuid?【标准格式:34567890-12cd-efab-3456-789012cdefab】 (4分)
4、请问智能冰箱默认保存几张图片?【标准格式:1】 (5分)
5、请问冰箱中已存的第一张图片上的内容是什么?【标准格式:满城尽带黄金甲】 (4分)
6、请问冰箱中已存的第二张图片的名称是什么?【标准格式:123.jpg】 (4分)
7、请找冰箱中隐藏的内容?【标准格式:chuzixizipizi】 (5分)
8、请找出冰箱中嫌疑人图片MD5值的后六位?【标准格式:1a2b3d】 (5分)
9、请找出冰箱最后一次开门时间?【标准格式:10:11】 (5分)
10、默认图片的存储限制大小是多少?【标准格式:1KB】 (5分)
11、分析video.E01,被修改的录像md5前5位是?【标准格式:1a2b3】 (4分)
数据分析 Data Analysis
1、对贾韦码计算机检材进行解析,该诈骗集团的最高层领导者的id 和姓名?【标准格式:M000001 姓名】 (1分)
2、找出最高领导的所有下线中提现总额最高的成员ID?【标准格式:M0000001】 (4分)
3、找出从直接下线获得平均佣金最高的成员ID及其平均佣金金额?【标准格式:M0000001,123.12】 (4分)
4、找出注册时间最早的前 10% 成员中,交易次数最少的 5 位成员的 id?【标准格式:M000001,M000002,M000003,M000004,M000005】 (4分)
5、找出交易次数增长率最高的成员ID及其增长率?【标准格式:M000001,24.44%】 (4分)
6、统计状态 ‘active’、90天无交易、历史交易额前20%的成员数?【标准格式:111】 (5分)
7、找出有上线且直接下线最多的成员ID及下线数?【标准格式:M000001:数量】 (5分)
8、比较最早年份Q1与Q4注册成员的总交易额,指出哪个更高及具体金额?【标准格式:Q1:123.12】 (5分)
9、找出成员地址中最常出现的省份,并计算居住在该省份的所有成员的总提现金额?【标准格式:省份,123.12】 (5分)
10、计算最高层领导者的净资金流?【标准格式:123.12】 (5分)
手机取证 Mobile Forensics
1分析安卓手机检材,手机的IMSI是?[答案格式:660336842291717] Analyze the Android phone: What is the IMSI? [Answer format: 660336842291717]
|
|
2养鱼诈骗投资1000,五天后收益是?[答案格式:123] Invest 1000 in “Fish farming” scam, what is return after 5 days? [Answer format: 123]
|
|
3分析苹果手机检材,手机的IDFA是?[答案格式:E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17] Analyze the iPhone: What is the IDFA? [Answer format: E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17]
|
|
4Telegram应用的卸载时间是?[答案格式:2023-01-22-17:37:50] When was uninstall time of Telegram App? [Answer format: 2023-01-22-17:37:50]
|
|
5机主hotmail邮箱地址是?[答案格式:123345@hotmail.com] What is the user’s Hotmail email address? [Answer format: 123345@hotmail.com]
|
|
6苹果电脑开机密码是?[答案格式:12345] What is the mac’s power-on password? [Answer format: 12345]
|
|
在苹果手机截屏里
7Telegram加密通讯中,加密聊天信息用到的第二个解密载体是?[答案格式:123.zip] The second decryption vector used to encrypt chat messages in Telegram encrypted messaging is? [Answer format: 123.zip]
火眼里用iphone里找到的密码打开MACos加密文件进行分析
发现在2.mp4的47秒左右出现加密规则,结合另一部分知道这个就是第二个揭秘载体
|
|
8贾韦码的内部代号是?[答案格式:77] What is Jia Wei Ma(贾韦码)’s internal code name? [Answer format: 77]
看iphone中的telegram聊天记录
但是良心的是,在Office文件元信息中
|
|
9特快专递的收货地址是?[标准格式:老牛市快速路11号ADE公司] What is the delivery address for the express package? [Answer format: 老牛市快速路11号ADE公司]
同上题
|
|
APK取证 APK Forensics
1分析安卓检材,远控工具包名是?[标准格式:com.app.cpp] Analyze the Android device: What is the package name of the remote control tool? [Answer format: com.app.cpp]
|
|
2远控工具中继服务器IP是?[标准格式:192.168.11.11] What is the IP of the relay server in the remote control tool? [Answer format: 192.168.11.11]
|
|
3远控工具ID服务器端口是?[标准格式:8088] What is the “ID server”‘s open port in the remote control tool? [Answer format: 8088]
|
|
4远控工具中继服务器Key是?[标准格式:HoTwGxUuV9OxSSEWRFsr1DVxQBkbbFRe0ImYMTlzyec=]
|
|
5远控工具中收藏的远程ID是?[标准格式:123456] What is the saved remote ID in the remote control tool? [Answer format: 123456]
|
|
6 远程控制该手机的手机型号是?[标准格式:huawei-Hot] What is the model of the phone controlling this phone? [Answer format: huawei-Hot]
|
|
7监听工具包名是?[标准格式:com.app.cpp] What is the package name of the eavesdropping tool? [Answer format: com.app.cpp]
|
|
8监听工具代码主入口是?[标准格式:com.app.cpp.MainActidddy] What is the main entry point in the eavesdropping tool’s code? [Answer format: com.app.cpp.MainActidddy]
|
|
9监听工具的签名算法是?[标准格式:AES123RSA ] What signing algorithm does the eavesdropping tool use? [Answer format: AES123RSA]
|
|
10监听工具运行多少秒后会跳转成黑色幕布?[标准格式:3.000]
模拟器仿真,进入软件后1s后便进入黑屏状态开始监听
|
|
11(复现)监听工具运行后,黑色幕布上字符串是?[标准格式:aes取证平台]
看下APK包,改ZIP解压后
emmm flutter就是一个Google的开发用户界面用的UI框架(IOS和Android都可以用),也就是前端,是近几年开发热潮,因为它达到了一个性能可提升的新高度
blutter使用
很多人可能没用过,所以写一下,可以跳过
首先我强烈推荐使用linux去运行,因为依赖的安装和dart环境的make非常方便,而windows就麻烦上好几个层次了
wsl中安装ubuntu的依赖后,手动下载blutter
压缩包后进行使用
注意wsl默认安装好像是g++ 11,在这种情况下运行脚本会报错,先执行一下指令进行更新到g++13
|
|
然后执行
python blutter.py ~/arm64-v8a ~/
解题
进入到lib\arm64-v8a文件夹中,存在libapp.so和libflutter.so,是没有符号的
用blutter
导出符号表
有一个
|
|
12监听工具检测到多少分贝开始录音?[标准格式:30]
一种方式是黑屏前截图
|
|
13监听工具录音连续几秒没有检测到声音停止录音?[标准格式:3]
见上
|
|
14监听工具保存文件存储路径的数据库名称是?[标准格式:sqlite.db] What is the database name storing file paths in the eavesdropping tool? [Answer format: sqlite.db]
|
|
15监听工具保存录像文件的文件夹是?[标准格式:file]
|
|
16监听工具数据库中保存音视频文件的路径使用什么加密?[标准格式:Rsa]
找path符号表提出来了也不好找,有点抽象
|
|
17录音的文件采用什么加密方式?[标准格式:RC4-123]
找file
|
|
18录像文件加密秘钥的最后一位是?[标准格式:0x6A]
继续分析keybytes
|
|
*19原始文件md5为3b4d****55ae的创建时间是?[标准格式:2024-2-14-16:32:8]
太抽象了,解密流程虽然一样但是复现的时候我都不想做,出的不好,nopadding没想到就是挂,看Aura博客
计算机取证 Computer Forensics
1分析贾韦码计算机检材,计算机系统Build版本为?【标准格式:19000】 Analyze Jia Wei Ma(贾韦码)’s computer sample: What is the system Build number? [Answer format: 19000]
|
|
2计算机最后一次正常关机的时间为?UTC +0【标准格式:2025-05-06 09:00:00】 When was the computer last shut down normally (UTC +0)? [Answer format: 2025-05-06 09:00:00]
同一张图里
|
|
3计算机网卡的MAC地址为?【标准格式:00-0B-00-A0-00-00】 What is the MAC address of the computer’s network interface card? [Answer format: 00-0B-00-A0-00-00]
|
|
4计算机用户“贾韦码” 安全标识符SID为?【标准格式:S-X-X-X-X-X-X-X】 What is the SID of user “贾韦码”? [Answer format: S-X-X-X-X-X-X-X]
|
|
5计算机默认浏览器为?【标准格式:Mozilla Firefox】 What is the default browser on the computer? [Answer example: Mozilla Firefox]
|
|
6计算机默认浏览器版本为?【标准格式:000.0.0000.00】 What is the version of the default browser? [Answer format: 000.0.0000.00]
|
|
7机主通过浏览器搜索国外社交软件为?【标准格式:Whatsapp】 What international social app did the owner search for? [Answer example: Whatsapp]
|
|
8机主的邮箱账号为?【标准格式:pgscup@pgs.com】 What is the owner‘s email account? [Answer format: pgscup@pgs.com]
|
|
9计算机装过一款反取证软件为?【标准格式:EnCrypt.exe】 What anti-forensic software was installed on the computer? [Answer example: EnCrypt.exe]
|
|
10计算机通过Xshell远程连接的ip地址为?【标准格式:127.0.0.1】 What IP address did the computer connect to via Xshell? [Answer format: 127.0.0.1]
|
|
11机主曾买过一个美国的TG账号,请给该账号的原两步验证密码?【标准格式:8位数字】 The owner purchased an US Telegram account. Provide its original two-step verification password. [Answer format: 8 digits]
|
|
12给出其电脑内加密容器的解密密码?【标准格式:Abc@123】 What is the decryption password for the encrypted container on the computer. [Answer format: Abc@123]
加密容器位置,之后我们就要根据VR的得到的线索图继续分析,这里没想到怎么爆破直接寄了,用passware kit进行掩码爆破
Pgs?d?d?d?dd3j
|
|
先跑VMX的解密,pyvmx_cracker跑不出来,比赛也是在这里歇菜了。结束后复盘的时候学长介绍了另一个可以用来破解的方法
VMWAREVMX
还可以用HASTCAT掩码爆破
- 首先导出 VC 容器的 Hash(容器的前 512 Bytes):
dd if=.\dsf2wecasdcqwed12434 of=./vc_hash bs=512 count=1dd从输入文件的512字节导出到vc_hash,确定块数为1 - hashcat爆破:
.\hashcat.exe -a 3 -w 1 -m 13721 -d 1 G:\CaseFile\PGS2025\FileOutput\vc_hash Pgs?d?d?d?dd3j
略微调整代码进行爆破
|
|
13给出其电脑内加密容器挂载的盘符?【标准格式:C】 What drive letter is assigned to the mounted encrypted container? [Answer format: C]
|
|
14给出其电脑内存放了多少张伪造身份证?【标准格式:10】 How many forged ID cards are stored on the computer? [Answer format: 10]
在Veracypt挂载后打开找到output文件夹 坑啊最后一个excel文件夹不是
|
|
15 找出任敏的身份证编号?[标准格式:18位]
|
|
16找出其电脑内存放的密钥文件,计算其MD5? [标准格式:字母小写]
虽然似乎存在3pgscup.rar这样的文件,但是只留下了快捷方式而没有文件存在,在x-ways forensics中通过十六进制全局搜索rar、zip文件头等,最后通过rar文件头52 61 72 21 1a 07 01 00搜索找到
|
|
17找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容?[标准格式:第3届pgscup]
在cyberchef跑
|
|
18对macOS系统进行解析,登陆的电子邮件服务是谁提供的?[标准格式:pgscup]
|
|
19系统备忘录的包名是什么?[标准格式:com.dfefef.note]
|
|
20图片中隐藏的内容是什么?[标准格式:隐藏内容 厨子戏子痞子]
蜜语里说的3.png
|
|
21被加密文件的扩展名是什么?[标准格式:123]
见苹果取证部分
解密出后在encrypt_file部分就可以找到
|
|
22被加密的文件总共有几个?[标准格式:5]
只有一个rar加密为了enc结尾的文件
|
|
23贾韦码家使用的智能门锁品牌型号是什么?[标准格式:小米X号]
还是在苹果取证部分
我们知道加密逻辑的密钥是固定的,使用的是AES_CBC算法,根据对称加密,我们在加密文件的时候试着让他直接把密钥也输出出来
|
|
可恶啊这个py文件的加密解密功能跟ui是不匹配的!!
EXE取证 PE Binary Forensics
在文档里找到lupg.zip,提出来放云沙箱分析
1分析Windows木马,其控制端ip是?[标准格式:192.168.1.11] Analyze the Windows trojan virus: What is its controller IP? [Answer format: 192.168.1.11]
|
|
2软件会复制自身到哪个文件夹下?[标准格式:DaTa] Which folder does the malware copy itself to? [Answer format: DaTa]
|
|
3接上题,复制后软件名称是?[标准格式:AppTmp.exe] Continuing last question, What is the copied filename? [Answer format: AppTmp.exe]
接上题分析即可
|
|
4软件一共可以窃取多少种浏览器的信息?[标准格式:3] How many types of browsers can the malware extract data from? [Answer format: 3]
数数,一共8个调用浏览器的函数
|
|
5软件查询安装的杀毒软件出错或异常会返回什么字符串?[标准格式:Apps] What error message is returned when the malware fails to detect antivirus software? [Answer format: Apps]
通过查找谁调用System.Management库寻找可疑的函数,该函数smethod_2()方法进行杀毒软件的查询,分析代码可知异常则返回Unknown
|
|
苹果应用取证 macOS Apps Forensics
全为复现,当时比赛根本不知道怎么取
1对mac电脑中的加密程序进行分析,使用了一个特定的数作为密钥生成的种子,请问这个数是什么?[标准格式:1234]
resources下的加密用Py文件,但是我们不能直接运行
发现在
/lib/python38.zip中存在.pyc模块文件,我们解压出来拖到pyLingual反编译
descramble key部分
|
|
2分析文件头部元素并确定它们的正确顺序。将字段名称按顺序连接并提交?[标准格式:字段1_字段2_字段3…]
|
|
3密钥派生过程中使用了几个算法步骤。其中一个函数使用了与其实际功能不符的名称。找出这个函数名并提交?[标准格式:函数名]
上面的__descryamble_key看得出来想要进行混淆,但是实际上混淆的mixed_base根本没用到,因此答案就是这个函数
|
|
服务器取证 Server Forensics
1分析服务器检材,找出服务器系统启动盘的GUID?【标准格式:数字、字母、-的组合,字母大写】 Analyze the server sample to find out the GUID of the server‘s boot disk? [Standard format: a combination of numbers, letters, and -, with the letters capitalized]
2找出服务器网关IP?【标准格式:1.1.1.1】 Find the server’s gateway IP. [Answer format: 1.1.1.1]
我觉得是network.cfg里的
3找出服务器数据盘的文件系统格式?【标准格式:ntfs】 Find the server’s data volume’s filesystem. [Answer example: ntfs]
disk.cfg
7找出服务器内Docker虚拟硬盘位置?【标准格式:/home/abc/adc.raw】 Find the virtual disk of Docker on the server. [Answer format: /home/abc/adc.raw]
挂载后到config中打开
物联网取证 IOT Forensics
1分析冰箱,请问智能冰箱的品牌?【标准格式:xiaomi】 Analyze the smart refrigerator: What is its brand? [Answer format: xiaomi]
松下的
|
|
2请问智能冰箱的型号?【标准格式:MiFridge2024】 What is the model of the smart refrigerator? [Answer format: MiFridge2024]
接上题
|
|
3请找智能冰箱的uuid?[标准格式:34567890-12cd-efab-3456-789012cdefab]
谁知道这道题是纯猜?
|
|
4请问智能冰箱默认保存几张图片?【标准格式:1】 How many images are saved by default in the smart refrigerator? [Answer format: 1]
IDA里面看,有从face1到face5,猜5
|
|
5请问冰箱中已存的第一张图片上的内容是什么?【标准格式:满城尽带黄金甲】 What is the content of the first saved image? [Answer format: 满城尽带黄金甲]
Formost提取出来
|
|
6请问冰箱中已存的第二张图片的名称是什么?【标准格式:123.jpg】 What is the filename of the second saved image? [Answer format: 123.jpg]
根据上面的分析应该是face2.jpg
|
|
7请找冰箱中隐藏的内容?[标准格式:chuzixizipizi]
|
|
8请找出冰箱中嫌疑人图片MD5值的后六位?【标准格式:1a2b3d】 What are the last six chars of the MD5 hash for the suspect’s image in the refrigerator? [Answer format: 1a2b3d]
应该是另一张长得不一样的图片的后六位
|
|
*9请找出冰箱最后一次开门时间?[标准格式:10:11]
根据mac取出来的贾韦码资料猜测照片修改日期即拍摄时间
|
|
10默认图片的存储限制大小是多少?[标准格式:1KB]
|
|
11分析video.E01,被修改的录像md5前5位是?[标准格式:1a2b3]
要用FTK Imager挂载
在233549-00001-M.mp4中这个位置发现了时间回跳
|
|
数据分析部分我不想做,描述的太难受了,有一种吊着一股气的感觉出的题,联系几乎没有,就是纯编程,总之就是很无语