2025第二届“平航杯”电子数据取证竞赛团队赛-剩余部分(流量分析、exe部分)

关注鱼影安全


前言:

流量分析:

1.请问侦查人员是用哪个接口进行抓到蓝牙数据包的(格式:DVI1-2.1)

打开发现是蓝牙流量 第一次做

在这里插入图片描述

正确答案:COM3-3.6

2.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备的原始设备名称为什么(格式:XXX_xxx 具体大小写按照原始内容)

导出.josn 文件 VS 打开 搜关键字 name

在这里插入图片描述

正确答案:Flipper_123all

3.起早王有一个用于伪装成倩倩耳机的蓝牙设备,该设备修改成耳机前后的大写MAC地址分别为多少(格式:32位小写md5(原MAC地址_修改后的MAC地址) ,例如md5(11:22:33:44:55:66_77:88:99:AA:BB:CC)=a29ca3983de0bdd739c97d1ce072a392 )

直接搜QQ_WF_SP8OON

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

正确答案:97d79a5f219e6231f7456d307c8cac68

4.流量包中首次捕获到该伪装设备修改自身名称的UTC+0时间为?(格式:2024/03/07 01:02:03.123)

因为 wireshark 第一层都会显示中国时间直接搜
在这里插入图片描述

时间戳 UTF+8 时差为 8 10-8=2

正确答案:2025/04/09 02:31:26.710

5.起早王中途还不断尝试使用自己的手机向倩倩电脑进行广播发包,请你找出起早王手机蓝牙的制造商数据(格式:0x0102030405060708)

搜索cracked

在这里插入图片描述

正确答案:0x0701434839313430

6.起早王的真名是什么(格式:Cai_Xu_Kun 每个首字母均需大写 )

一把梭哈

在这里插入图片描述

正确答案:Wang_Qi_Zhao

7.起早王对倩倩的电脑执行了几条cmd里的命令(格式:1 )

bao bao,zui jin you ge nan sheng xiang zhui wo,ta jiaao wwang qi qi zao wang ta shuo ta ai wo,dan shi cong bu baang wo na kuai di,hao fan acmd<RET>BDFGGHIIKLNNOOMLJJIIHIIJKLLKHIGGFEEDBCAAABBBABCEDEEDEEEFEGGIFFCBBAACCCFFHGFEDCCBBABEEEGFFDCA whoami<RET>net user<RET>net user qianqianwoaini$ abcdefghijkImn /add<RET>net localgroup administrators qianqianwoaini$ /add<RET>net user qianqianwoaini$ /delCGIKLLMMLLJJHHHFECB<RET>net localgroup administrators qianqianwoaini$ /add<RET>rundll32 url.dll,FileProtocolHandler https"//fakeupdate.net/win10ue/bsod.htmlGJKGECCAAA<RET>CEGHKMMNNLLJHFDB

在这里插入图片描述

正确答案:7

8.倩倩电脑中影子账户的账户名和密码为什么(格式:32位小写md5(账号名称_密码) ,例如md5(zhangsan_123456)=9dcaac0e4787b213fed42e5d78affc75 )

上面 ai 帮忙分析了:net user qianqianwoaini$ abcdefghijkImn /add

qianqianwoaini$_abcdefghijkImn

在这里插入图片描述

正确答案:53af9cd5e53e237020bea0932a1cbdaa

9.起早王对倩倩的电脑执行的最后一条命令是什么(格式:32位小写md5(完整命令),例如md5(echo “qianqianwoaini” > woshiqizaowang.txt)=1bdb83cfbdf29d8c2177cc7a6e75bae2 )

最后一条命令 ai 也分析了按题目要求加密下:

rundll32 url.dll,FileProtocolHandler https://fakeupdate.net/win10ue/bsod.html

在这里插入图片描述

正确答案:0566c1d6dd49db699d422db31fd1be8f

Exe部分:

1.分析GIFT.EXE,该程序的MD5是什么(格式:大写MD5)

在这里插入图片描述

正确答案:5A20B10792126FFA324B91E506F67223

2.GIFT.exe的使用的编程语言是什么(格式:C)

PE 直接分析 看到打包工具PyInstaller 所以是 Python

在这里插入图片描述

正确答案:Python

3.解开得到的LOVE2.exe的编译时间(格式:2025/1/1 01:01:01)

之前做题得到身份证了 所以尝试身份证的生日就是密码

20010811

运行本机 炸了 鼠标都变成这个了 爱心,微步查杀下 发现有时间

在这里插入图片描述

C:\Users\起早王\AppData\Local\Temp\gift_extracted

在这里插入图片描述
在这里插入图片描述

正确答案:2025/4/8 09:59:40

4.分析GIFT.exe,该病毒所关联到的ip和端口(格式:127.0.0.1:1111)

奇安信沙盒
在这里插入图片描述

正确答案:106.46.26.92:80

5.分析GIFT.exe,该病毒修改的壁纸md5(格式:大写md5)

关闭防火墙 运行 love2.exe 但是我关了还是运行不起来,本机运行了 已经 gg 了 用工具提取了

在这里插入图片描述
在这里插入图片描述
导出 直接 md5 加密即可 要求大写

正确答案:733FC4483C0E7DB1C034BE5246DF5EC0

6.分析GIFT.exe,为对哪些后缀的文件进行加密: A.doc B.xlsx C.jpg D.png E.ppt

IDA 查看 exe 得到:

在这里插入图片描述

ABE

7.分析GIFT.exe,病毒加密后的文件类型是什么(格式:DOCX文档)

直接查看属性就行

在这里插入图片描述

正确答案:LOVE Encrypted File

8.分析GIFT.exe,壁纸似乎被隐形水印加密过了?请找到其中的Flag3(格式:flag3{xxxxxxxx})

直接使用工具提取水印

在这里插入图片描述

正确答案:flag3{20241224_Our_First_Meet}

9.分析GIFT.exe,病毒加密文件所使用的方法是什么(格式:Base64)

ove.jpeg 发现 RSA 私钥

在这里插入图片描述
在这里插入图片描述

正确答案:RSA

10.分析GIFT.exe,请解密test.love得到flag4(格式:flag4{xxxxxxxx})

在这里插入图片描述
在这里插入图片描述

正确答案:flag4{104864DF-C420-04BB5F51F267}

需要电子取证培训dd!

Logo

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐