2025数证杯 计算机取证WP(无内存取证(因为内存取证还在下载))
1.操作系统的 Build 版本号是?(答案格式:1)


仿真用systeminfo看一下是19044

2.操作系统设置的账户密码最长存留期为多少天?(答案格式:1)

68
3.用户 2 登陆密码 NT 哈希值后六位是?(字母全大写,答案格式:AAAAAA)

A9C708
4.蓝牙 mac 地址是多少?(答案格式:AA-AA-AA-AA-AA-AA)

搜索blue就能看到了MAC地址:9c-b6-d0-04-c9-cc,要大写

5.SafeImager 的产品序列号后四位是?(字母全大写,答案格式:AAAAAA)

设备SN就是相关的序列号,所以是09C4
6.VHD 所处的结束扇区是?(答案格式:1)

第一步就直接搜说vhd,然后就有123.vhd

答案是27445255,跟我算出来有7的偏差,我的做法是winhex找到起始扇区19,276,304

然后找到123.vhd看他的16进制数,然后复制在搜索

然后正常应该为27445248,就算加上了最开始的起始扇区878592,那相加之后应该是27445248+878592=28,323,840,所以答案感觉有点存疑,看了后面的7扇区感觉不像是正常vhd的数据,正常vhd数据到后面不应该出现复杂类数据。

以下是正常数据的vhd最后的扇区

下图是正确答案的vhd数据

7.用户在 BitLocker 加密分区最后修改的文件是?

先打开123.vhd,然后直接打开backup找到密钥:625075-617309-532576-720302-040975-309232-451924-426679
然后通过火眼直接通过修改时间排序就好了

8.用户连接 192.168.114.129 时用的会话名称是?(答案格式:按照实际情况填写)


火眼扫一下出来了,位子是:/Users/Administrator/Documents/NetSarang Computer/8/Xshell/Sessions

美亚就找到大概位置,然后去目录再找一下才能找到,一开始的文件名称是错的
9.用户创建存储虚拟币钱包地址页面的时间是?(使用双位数格式,答案格式:01 月 01 日)

这个是个加密货币,用百度看看学习一下,然后时间就出来了



10.用户的虚拟币钱包地址是?(答案格式:按照实际情况填写)

首先是上面一题的地址:VkZSQ2IyVldjRWxSYkdoVlZrZG9hRmt5ZEV0V01sSTJZa1JXYTFaSGFIaGFWVkpIVlRKSmQwNVZPVlJsYkhCRVZqSTFiMDB5VFhkaFIzUlFWVlF3T1E9PQ==
看出来base64解码后
VFRCb2VWcElRbGhVVkdoaFkydEtWMlI2YkRWa1ZHaHhaVVJHVTJJd05VOVRlbHBEVjI1b00yTXdhR3RQVVQwOQ==
但是钱包地址不会那么长,再加上==感觉还要base64
TTBoeVpIQlhUVGhhY2tKV2R6bDVkVGhxZURGU2IwNU9TelpDV25oM2MwaGtPUT09
然后继续base64也不会那么长
M0hyZHBXTThackJWdzl5dThqeDFSb05OSzZCWnh3c0hkOQ==
出现==继续base
3HrdpWM8ZrBVw9yu8jx1RoNNK6BZxwsHd9
这个应该是正常的长度。
11.用户 VC 加密容器的密码是?(答案格式:按照实际情况填写)

先通过forxmail去打开然后看到有part1-3的rar和密码258369,然后全局搜能找到4和5

然后打开word,看到有隐藏的1东西,可以试着改一下颜色


密码:VC密码:SHUZHENGBEIctzy2025
用户在生活中使用的代号是?(答案格式:按照实际情况填写)

仿真后有个代号.wav,然后用au看一下


然后打开多视图就能看到代号:小胖

13.李安东的银行卡归属哪个银行?(答案格式:农业银行)

有个银行卡6位纯数字.xlsx,这种看到了就直接暴力出来就好了688561

然后就看到了

14.请分析某市 10 月 6 日最高气温是?(答案格式:1)


这个就像然后打开有密码

通过winhex打开,看到标红的是伪加密了,然后给他变成00后,再把504b0102后的09改为00就能打开




15.用户的 BitLocker 密码是?(答案格式:按照实际情况填写)

这个不会,纯看了大佬的思路,是冲mail那个程序找到了一个png

通过下载找到了隐写工具

找到之后就放进去找到了

16.用户办公室的门禁密码是

这个是先之前有一个123.vhd,然后打开有个文件secretNew,看着就是个加密容器

之前有道题目是加密容器密码,试一下进去了,找到了办公室密码锁jpg.enc,用wireshark打不开,然后就想到之前的part分段有一个exe


解开之后是张图片,winhex看一下,疑似就是密码147963258


17.用户使用的以 D 开头的解密程序的 MD5 值后六位是?(字母全大写,答案格式:AAAAAA)

这个我真没找到我把d开头的全算了一边都是不对的,后面看了佬的wp发现就是之前那个解密工具,他虽然f开头但是点击下面可以看到是d开头,又是解密工具


18.木马程序运行至系统断点前加载了几个动态链接库?(答案格式:1)
程序题就不大会了,都是看佬的思路的
程序链接:https://x64dbg.com/

答案是5个,但是我从日志和内存看出来都是4个,看了别人的wp有5个也有4个的,缺了个apphelp的dll

19.木马产生的程序名称是什么?(答案格式:Abcd.txt)
微步在线跑一下:https://s.threatbook.com/

大佬直接能通过详情看到,我这不知道为啥不能很直观的看到,所以通过特征点分析看的

20.木马尝试访问的域名是什么


21.分析计算机内存检材,此内存镜像制作时的系统时间是?(使用双位数格式,答案格式:01 月 01 日)
22.分析计算机内存检材,用户 Yiyelin 的用户标识后 4 位是?(答案格式:1111)
23.分析计算机内存检材,计算机的 CPU 型号是什么?(答案格式: i9-1110U)
24.分析计算机内存检材,wps.exe 的 PID 是?(答案格式:1)
25.分析计算机内存检材,此计算机开机自启动的远控软件名称是?(答案格式:abcd.txt)
DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。
更多推荐

所有评论(0)