2025"獬豸杯"全国电子数据取证竞赛---计算机部分WriteUp

关注鱼影安全

检材链接: https://pan.baidu.com/s/1xjjACM7v42wfQ66y8UZ6zw?pwd=xdza

前言:

2025"獬豸杯"全国电子数据取证竞赛—手机部分复现,公众号后台私信获取检材

容器密码:}2N|n_yxdt!G/Ru}|_zdn$@?6@CD8E

哈希值:SHA-256:c0b92e1d2f22e26b9ff22451e49e23cd5b6e7ec4a4b655f4698d36faf162d8b0

1.网卡的Mac地址是多少?[标准格式:XX-XX-XX-XX-XX-XX]

火眼分析-网络配置

在这里插入图片描述
火眼 仿真 使用命令:ipconfig /all

在这里插入图片描述

正确答案:00-0C-29-BF-8B-30

2.系统内部版本号是多少?[标准格式:12345]

仿真操作 输入 msinfo32 看到内部版本 18363

PS:系统内部版本号= Build 

在这里插入图片描述

在这里插入图片描述
第三种方法 Win+I 选择“系统” > “关于” 查看即可。

在这里插入图片描述

正确答案:18363

3.计算机系统开机密码是多少?[标准格式:根据实际值填写]
\Users\TTT\AppData\Local\Packages\Microsoft.MicrosoftStickyNotes_8wekyb3d8bbwe\LocalState\plum.sqlite #便签数据库路径

仿真 饶过密码 通过便签查看密码
在这里插入图片描述
火眼-微软便签发现密码

在这里插入图片描述

正确答案:WAXD9128@

4.分析计算机检材中手机流量包,请问黑客虚拟身份的密码是什么?[标准格式:x123]
知识点:

saz 后缀文件:SAZ是一种以.SAZ为后缀的文件格式。SAZ是Session Archive Zip的缩写。 SAZ文件用于保存HTTP请求的信息。 在Fiddler软件使用SAZ格式用来保存和读取HTTP请求信息。

安装 vmtools 把文件导出来使用 Fiddler 在状态码 400 login 登入发现密码

在这里插入图片描述
在这里插入图片描述

正确答案:a12345678

5.分析计算机检材中手机流量包,请问黑客人员使用的夜神模拟器的手机型号是什么?[标准格式:XX-X123X]

这题问的模拟器 那肯定是 apk 文件 导出文件分析 发现是压缩包里面有个镜像文件 在进行分析一波

在这里插入图片描述
在这里插入图片描述
导入火眼分析下 看到型号

在这里插入图片描述

正确答案:SM-G955N

6.分析计算机检材中手机流量包,请问黑客看视频的时间是几月份?[标准格式:1]

video,找到的host是抖音,原始数据里面有时间:

发现是 May 五月份(说实话我是文盲我不认识五月,麻了)

在这里插入图片描述

正确答案:5

7.分析计算机检材中手机流量包,请问“天戮宇宙”出自哪个小说平台?[标准格式:番茄小说网]在这里插入图片描述

看不清 问下 ai 或者百度
在这里插入图片描述
在这里插入图片描述

正确答案:起点中文网

8.请问在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]

火眼-APP 分析发现有个 许羽 导出来测试下是不是恶意软件

在这里插入图片描述
放入雷电模拟器发现被锁了

在这里插入图片描述
在这里插入图片描述

正确答案:340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

9.接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]

JADX 反编译下,发现锁屏的密码 许羽牛逼!!
在这里插入图片描述

正确答案:anzhuo.com

10.signed_xz.exe程序SHA1后6位是多少?[标准格式:524c62]

搜索关键字 xz.exe 直接导出计算即可。

在这里插入图片描述
在这里插入图片描述

正确答案:8955b1

11.signed_xz.exe程序中的函数名为curl_version_info的函数地址是多少?[标准格式:0c6875c2]

直接 IDA 打开搜函数名称 找到地址

在这里插入图片描述

正确答案:0x004393c0

12.signed_xz.exe程序中节名为.reloc的虚拟地址是多少?[标准格式:0c526n5624]

PE 查看可以看到虚拟地址

在这里插入图片描述

正确答案:0x035b5000

13.请分析检材中澳门新葡京APK其包名是?[标准格式:com.abcd.xxx]

火眼-APP 分析-导出 apk 包雷电分析查看包名

在这里插入图片描述
在这里插入图片描述

正确答案:com.suijideszzuiji.cocosandroid

14.请分析检材中澳门新葡京APK是否加固,加固则说明是什么加固?[标准格式:360加固宝或未加固]

雷电分析-源码分析-未加固

在这里插入图片描述

正确答案:未加固

15.请分析检材中澳门新葡京APK是否会往手机的SD卡中写入数据,则该权限的名称是?[标准格式:android.xx.xxx]

雷电分析或者在线摸瓜分析

在这里插入图片描述

正确答案: android.permission.WRITE_EXTERNAL_STORAGE

16.请分析检材中澳门新葡京APK登录的api地址。[标准格式:https://www.baidu.com/api/login]

雷电分析 导入 apk 安装 注册 登入 抓包 发现疑似登入的主机

在这里插入图片描述
在这里插入图片描述

正确答案:https://168js.bvocftd.com/ky188/member/memberManager/login

17.请分析检材中澳门新葡京APK其中关于腾讯运营商的服务留存了QQ号是?[标准格式:123456790]

jaxd 分析 全局搜索 qq 找到 QQ_APPID = "100686848";

在这里插入图片描述

正确答案:1108221663

18.请分析Navicat中root用户的密码

在这里插入图片描述

正确答案:(=3]Zwjt#W

Logo

DAMO开发者矩阵,由阿里巴巴达摩院和中国互联网协会联合发起,致力于探讨最前沿的技术趋势与应用成果,搭建高质量的交流与分享平台,推动技术创新与产业应用链接,围绕“人工智能与新型计算”构建开放共享的开发者生态。

更多推荐