2024数证杯-初赛WP[计算机、U盘、手机]
前言
先写这么多,APK、EXE、流量不怎么会,而且还是原题网上能找到。其它的我做的也不多,我先练一练。想看佬们写的服务器和数据分析WP,学习参考一下。
加油吧,准备练练服务器的题目。
也不知道这次数证杯能不能进线下(想和佬们面基!!!)
如有错误欢迎各位大佬指正。
计算机取证
请根据计算机检材,回答以下问题:(32个小题,共76分)
1.[填空题]对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合,如:D23DDF44)(2分)
ESP 分区即 EFI 系统分区(EFI System Partition),是一个 FAT 格式的磁盘分区
FAT 格式:ESP 分区通常采用 FAT16 或 FAT32 文件系统格式
使用xways挂载镜像
再通过火眼查看并计算一下SM3
结果为
BDBE1073
2.[填空题]对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00)(2分)
火眼查看登录消息
要是不确定这个登出时间是不是注销操作可以去查看事件ID
4647:用户发起注销操作时,还会记录事件 ID 4647,它代表用户启动了注销过程。
结果为
2024-10-25 22:57:32
3.[填空题]对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234)(2分)
结果为
24
4.[填空题]对计算机镜像进行分析,该操作系统设置的账户密码
最长存留期为多少天?(填写数字,答案格式如:1234)(2分)
我是仿真后使用命令查看
在 Windows 系统中,可以使用 net accounts 命令来查看账户密码的最长存留期等相关设置。
结果为
42
5.[填空题]对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为?(答案格式:1.23)(2分)
提示已经说了,软件已经安装了。点WIN图标就能直接看见
结果为
5.86
6.[填空题]对计算机镜像进行分析,该操作系统接入过一名称为”Reltek USB Diskautorun USB Device”的USB设备,其接入时分配的盘符为?(答案格式:A)(2分)
结果为
E:
7.[填空题]对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1)(2分)
结果为
192.168.43.1
8.[填空题]对计算机镜像进行分析,该操作系统配置的连接NAS共享文件夹的1P地址为?(答案格式:127.0.0.1)(2分)
结果为
192.168.188.1
9.[填空题]对计算机镜像进行分析,写出”吵群技巧txt”文件SM3值的后8位?(大写字母与数字组合,如:D23DDF44)(2分)
文件名没有检索到,文件有可能被压缩了导致没有检索到。
最近访问项目肯定是最优先排查目标,win加R输入recent去查看。(火眼也行)
话术、方法、技巧.zip解压后找到,用火眼工具箱自带的工具算一下SM3
结果为
10887AE1
10.[填空题]对计算机镜像进行分析,该操作系统通过SSH连接工具连接CCTak测试环境的SSH端口为?(填写数字,答案格式如:1234)(2分)
结果为
12849
11.[填空题]对计算机镜像进行分析,该操作系统通过SSH连接工具连接的CCTalki境外服务器是哪个运营商的?(填写汉字,答案格式:阿里云)(2分)
之前找到的内网的,所以我们还需要重新找。
在回收站中,还原打开
找到公网地址后使用在线网站查找IP地址运营商
结果为
亚马逊云
12.[填空题]对计算机镜像进行分析,获取机主保存在本机的U盾序号的后4位数字为?(填写数字,答案格式如:1234)(2分)
先去看最近访问项目,有一个 U盾.jpeg 图片文件
可能对图片进行了隐写,使用 binwalk -e ‘/home/kali/桌面/U盾.jpeg’ 对图片尝试分离
得到了 U.png
结果为
6409
13.[填空题]对计算机镜像进行分析,机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024)(2分)
直接问AI就可以得出答案
在火眼的文件系统中搜索文件名就可以找到,也可以看见文件就在电脑的下载文件夹下,也可以仿真查看。给出了作者名。
找到后还是需要网上去所搜,因为我没有支持查看caj文件的软件。
结果为
2019
14.[填空题]对计算机镜像进行分析,该操作系统访问“环球商贸”的1P地址为?(答案格式:127.0.0.1)(2分)
这个可以去查看一下浏览器。在edge浏览器的书签中。
结果为
39.108.126.128
15.[填空题]对计算机镜像进行分析,“环球商贸”服务器配置的登泉密码为?(答案按照实际填写,字母存在大小写)(2分)
问服务器配置的登泉密码,直接去查看FinalShell
在软件中无法直接看见,去该软件目录下
配置文件在 C:\Users\Administrator\AppData\Local\finalshell\conn下
使用工具PotatoTool 解密一下
结果为
HQSM#20231108@gwWeB
16.[填空题]对计算机镜像进行分析,机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写,字母全小写)(2分)
在同一文件夹下
结果为
jlb654321
17.[填空题]对计算机镜像进行分析,机主搭建的宝塔面板的安全入口为?(答案格式:/abc123)(2分)
火眼嵌套识别出一个镜像,右键单击添加成新检材
结果为
/c38b336a
18.[填空题]对计算机镜像进行分析,机主搭建的宝塔面板的登录账号为?(答案格式:abcd)(2分)
结果为
igmxcdsa
19.[填空题]对计算机镜像进行分析,其搭建的宝塔面板的登录密码为?(按实际值填写)(2分)
仿真起镜像,ens33没有IP需要配置一个
命令:ifconfig ens33 192.168.59.100 up
配置好后使用 Xshell连接(这样方便一点,在虚拟机使用命令可能会出现报错或者无法解析)
重置密码进入宝塔
命令:bt 5
额,这题不会
20.[填空题]对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写)(4分)
userinfo.json 是宝塔面板中一个比较重要的文件,它通常用于存储与用户相关的信息。
一般情况下,userinfo.json 文件位于宝塔面板的安装目录下的 panel 文件夹内,具体路径为 /www/server/panel/data/userinfo.json。
结果为
17859628390
21.[填空题]对计算机镜像进行分析,机主搭建的宝塔面板中mysql环境的root密码为?(按实际值填写)(4分)
结果为
123456
22.[填空题]对计算机镜像进行分析,机主搭建的宝塔面板中Mysq环境连接的端口号为?(填写数字,答案格式如:1234)(2分)
mysql数据库默认端口也是3306
结果为
3306
23.[填空题]接上题,”卡号分组”表所在的数据库名为?(答案按照实际填写,字母全小写)(4分)
结果为
a_train2023
24.[填空题]接上题,”孙华锦”在2020-07-0110:49:07时间节点的交易余额为?(答案格式:1234.56)(4分)
仿真的win-PC和Virtural-PC都使用nat网络。
此前Virtural-PC的root已重置为123456。网卡添加IP为192.168.59.100
在win-PC使用navicat 试用小工具,让navicat可以重新使用。
进去后,这里只需要修改SSH即可。
从宝塔得到的mysql 数据库密码为:123456
结果为
6610.94
25.[填空题]对U盘镜像进行分析,其镜像中共有几个分区?(填写数字,答案格式如:1234)(2分)
使用xways查看
结果为
2
26.[填空题]对U盘镜像进行分析,其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案,答案格式:1234)(2分)
使用DiskGenius查看,RStudio也可以
结果为
1
27.[填空题]对U盘镜像进行分析,其中FAT32主分区定义的每扇区字节数为?(请使用十进制数方式填写答案,答案格式:1234)(2分)
结果为
512
28.[填空题]对U盘镜像进行分析,其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案,答案格式:1234)(2分)
结果为
32
29.[填空题]对U盘镜像进行分析,其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案,答案格式:1234)(2分)
结果为
7345
30.[填空题]对U盘镜像进行分析,其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案,答案格式:1234)(2分)
结果为
109584
31.[填空题]对U盘镜像进行分析,其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案,答案格式:1234)(4分)
结果为
8
32.[填空题]对盘镜像进行分析,请从该镜像的两个分区中找出使用”新建文本文档txt”记录的同一个MD5值的两部分信息,并写出该MD5值的第13-20位字符串。(答案格式:大写字母与数字组合,如 D23DDF44)(4分)
在U盘两个分区的导出找照片中都发现一个显示文件头错误。分别导出
使用010修复一下文件头
结果为
d668aee2
手机取证
1.[填空题]对手机镜像进行分析,机主微信D号为?(答案按照实际填写,字母全小写)(2分)
结果为
wxid_gvlyzqeyg83o22
2.[填空题]对手机镜像进行分析,机主在2023年12月登录宝塔面板使用的验证码为?(填写数字,答案格式如:1234)(2分)
直接去看短信
结果为
482762
3.[填空题]对手机镜像进行分析,小众即时通讯“鸽达”应用程序的最后更新时间为?(答案格式如:1970-01-0100:00:00)(2分)
在data目录下找到鸽达包名文件夹
结果为
2024-09-20 10:06:13
4.[填空题]对手机镜像进行分析,该手机中记录的最后一次开机时间。(答案格式如:1970-01-0100:00:00)(2分)
结果为
2024-10-24 11:27:14
5.[填空题]对手机镜像进行分析,该手机中高德地图APP应用的登录D为?(答案按照实际填写)(2分)
结果为
950980338
6.[填空题]对手机镜像进行分析,该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?(答案格式:大写字母与数字组合,如:D23DDF44)(2分)
解密不开UserInfo875
/media/0/Android/data/com.autonavi.minimap/files/autonavi/httpcache/imageajx/ 直接去的该目录下查找。
结果为
<font style="color:rgba(0, 0, 0, 0.87);">572589DA</font>
7.[填空题]对手机镜像进行分析,其中20220207-20230206的微信账单文件的解压密码为?(答案格式:按实际值填写)(2分)
在火眼的分析 图片里可以找到,我的有点问题不能在那边直接显示所以跳源文件里看了
结果为
504982
8.[填空题]对手机镜像进行分析,机主在手机中存储的一张复古士砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市)(2分)
结果为
景德镇市
9. [填空题]对手机镜像进行分析,通过AI合成的人脸照片中,有几张照片是通过本机当前安装的AI照片合成工具生成,并有对应记录的?(填写数字,答案格式如:1234) (4分)
去软件的数据库文件
结果为
3
10.[填空题]对手机镜像进行分析,统计出通讯录号码归属地第二多的省份是?(答案格式:广东)(4分)
使用火眼把通讯录导出
- 选中包含该内容的单元格,然后点击菜单栏中的 “数据” 选项卡。
- 在 “数据” 选项卡中找到 “分列” 按钮并点击。
- 点击智能分列
结果为
福建
11.[填空题]对手机镜像进行分析,找出”季令柏”身份证号后4位为?(答案格式:1234)(2分)
在图片中找到名为:我的身份证电子信息.png 的png图片
但是无法查看,导出后使用010查看发现是缺少文件头,补上后即可查看
结果为
8043
12.[填空题]对手机镜像进行分析,找出接收”葵花宝典1.doc”文件使用的
应用程序的第一次安装时间为?(答案格式如:1970-01-0100:00:00(2分)
在通讯软件中搜一下找到是哪个应用,再去应用列表中找一下
结果为
2024-09-20 09:29:40
13.[填空题]对手机镜像进行分析,机主使用的小众即时通讯,应用使用的服务器1P为?(答案格式:127.0.0.1)(2分)
小众即时通讯是:鸽哒 去data目录下去找鸽哒的数据库文件
结果为
163.179.125.64
14.[填空题]对手机镜像进行分析,机主在哪个平台上发布过转让传奇游戏币的信息,请写出该平台应用APP的包名?(答案格式:com.abcd)(4分)
判断一下就出了,要是不确定就搜一下不认识的
结果为
com.jiuwu
15.[填空题]对手机镜像进行分析,其中有一“双色球”网页的玩法规侧中定义的”三等奖”的奖金是多少?(填写数字,答案格式如:1234)(4分)
都没找到,有一个备忘录软件去查看它的数据库文件
给了网址:https://www.lottery.gov.cn/dlt/index.html
结果为
10000
16.[填空题]对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的用户D为?(答案格式:答案按照实际填写)(2分)
结果为
2968704175
17.[填空题]对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的P地址为?(答案格式:127.0.0.1)(4分)
结果为
192.168.110.106