“盤古石杯”電子取證比賽WP

寫在前面

剛剛比完了比賽，覺得自己還有很多東西沒做過，現在趁著寫WP的時候順便復盤一下，望各位大佬指正。

2023年5月4日中午收到短信通知告訴我可以下檢材了，但是一看到300G的大小，得益于百度網盤那穩定于2G時代的網速，告訴我什么叫做絕望，直到比賽的前一個小時才下完的檢材。。。。
下載鏈接扔出來了，氪金大佬可以趕緊下載:https://pan.baidu.com/s/1bcEDEeh3A1RnHAhjmmZOZQ?pwd=vdy6
下載之后肯定就是VeraCrypt容器了，密碼：
usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

Android程序分析

1.涉案應用刷刷樂的簽名序列號是

得出0x11fcf899

2.涉案應用刷刷樂是否包含讀取短信權限

用靜態權限看一下就知道沒有

3.涉案應用刷刷樂打包封裝的調證ID值是

4.涉案應用刷刷樂服務器地址域名是vip.shuadan.com

5.涉案應用刷刷樂是否存在錄音行為
仿真了監控一下，沒有
6.涉案應用未來資產的包名是plus.H5CE4B30D

7.涉案應用未來資產的語音識別服務的調證key值是53feacdd

8.涉案應用未來資產的服務器地址域名是
直接裝進模擬器看一下就知道是vip.usdtre.club

9.涉案應用未來資產的打包封裝的調證ID值是是H5CE4B30D

移動智能終端取證
1.根據容恨寒的安卓手機分析，手機的藍牙物理地址是(答案格式：B9:8B:35:8B:03:52)
答案A9:8B:34:8B:04:50

2.根據容恨寒的安卓手機分析，SIM卡的ICCID是(答案格式：80891103212348510720)

答案89014103211118510720
3.根據容恨寒的安卓手機分析，團隊內部溝通的聊天工具程序名稱是(答案格式：微信)

首先打開應用列表，在這個時候我覺得這個檢材是模擬器不是真機，因為還在里面發現了雷電服務和雷電鍵盤，在應用列表里面看到的即時通訊應該只有兩個，微信和Potato。

4.根據容恨寒的安卓手機分析，團隊內部溝通容恨寒收到的最后一條聊天信息內容是(答案格式：好的)

5.根據容恨寒的安卓手機分析，收到的刷單.rar的MD5值是(答案格式：
202cb962ac59075b964b07152d234b70)
首先搜索刷單.rar，之后就會顯示有兩個

然后到文件目錄

導出來之后算MD5哈希就好

6.根據容恨寒的安卓手機分析，收到的刷單.rar的解壓密碼是(答案格式：abcdg@1234@hd)
這個東西在比賽的時候沒有找到，在之后和大佬交流之后才發現在上面的數據庫里面，表名叫BAProvider$g
密碼規則： 前五位：wlzhg 末尾兩位：片區簡寫“xn” 中間四位：0-9隨機數組合 各部分用@連接 示例：wlzhg@8888@xn
因為手里其他的工具也沒有，就用Python將就寫一下

import rarfilerar = rarfile.RarFile("刷單.rar")for i in range(1000,9999):password = 'wlzhg@' + str(i) + '@xn'try:rar.extractall(pwd=password)print(password)except:continue

*7.根據容恨寒的安卓手機分析，發送刷單.rar的用戶的手機號是(答案格式：15137321234)
要做這題，首先要看到BAProvider$b 、BAProvider$j 這兩張表，解base64就可以了。下題同理。
*8.根據容恨寒的安卓手機分析，發送多個報表的用戶來自哪個部門(答案格式：理財部)
9.根據容恨寒的安卓手機分析，MAC的開機密碼是(答案格式：asdcz)

備忘錄記事本里面可以直接看到的，mac開機密碼apple

10.根據容恨寒的安卓手機分析，蘋果手機的備份密碼前4位是(答案格式：1234)

還是和上題一樣的圖，備份密碼前四位1976
11.根據魏文茵蘋果手機分析，IMEI號是？(答案格式:239471000325479)

右下角可以直接看到358360063200634

12.根據魏文茵蘋果手機分析，可能使用過的電話號碼不包括？(答案格式:13527821339)
這一題是選擇題A：18043618705 B：19212175391 C:19212159177 D:18200532661
因為是選擇題，這里就選擇用排除法解決了。

還有一點奇怪的地方，簡單方法就是打開兩個檢材，ABC選項都存在，就只剩下D了
13.根據臧覓風的安卓手機分析，微信ID是(答案格式：wxid_av7b3jbaaht123)

直接打開看微信的分析結果，wxid_kr7b3jbooht322

14.根據臧覓風的安卓手機分析，在哪里使用過交友軟件(答案格式：杭州)(★★★☆☆)
探探、摸摸、Telegram都嘗試看了一下，就直接看到中國西安未央

15.根據臧覓風的安卓手機分析，嫌疑人從哪個用戶購買的源碼，請給出出售源碼方的賬號(答案格式1234524229)
先用源碼作為關鍵詞搜索，可以得到就在Telegram里面，看見和兩個用戶的聊天記錄

其中一個是購買IM系統的源碼，另一個是刷單的源碼，IM系統那個沒有看到付款，就只剩下刷單的那個源碼了。對方賬號5768224669

16.根據臧覓風的安卓手機分析，購買源碼花了多少BTC？(答案格式：1.21)
和上一道題目同一張圖，0.08BTC。
17.根據臧覓風的安卓手機分析，接收源碼的郵箱是(答案格式：asdasd666@hotmail.com)
在下面的聊天記錄當中顯示molihuacha007@hotmail.com

18.嫌疑人容恨寒蘋果手機的IMEI是?(答案格式:2000-01-01)
容恨寒的蘋果手機就是在macOS電腦里面的備份，在backup文件夾下
將它導出并放入取證分析軟件，注意備份密碼是19760908

將其作為iTunes備份導入，用手機取證打開，IMEI就是353271073008914

19.嫌疑人容恨寒蘋果手機最后備份時間是?(答案格式:2000-01-01)

最后備份時間也可以直接看到2023/4/12 21:20:59
20.嫌疑人容恨寒蘋果手機“易信”的唯一標識符（UUID）？(答案格式:2000-01-01)(★★★★☆)
21.嫌疑人容恨寒蘋果手機微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)

直接看到微信的ID就是wxid_peshwv0rosih12

計算機取證
1.嫌疑人魏文茵計算機的操作系統版本?(答案格式:Windows 7 Ultimate 8603)
仿真，直接看到設置->關于部分Windows10 10 Professional 1607

2.嫌疑人魏文茵計算機默認的瀏覽器是?(答案格式:Internet Explorer)
在默認應用里面可以看到，

3.嫌疑人魏文茵計算機中以下那個文檔不是嫌疑人最近打開過的文檔?(答案格式:D)
這道題是選擇題 A：掠奪攻略.docx B：工資表.xlsx C:刷單秘籍.docx
D:腳本.docx
仿真，打開快速訪問，B，C都能看到，D選項之后會講的，A選項搜索不到。

4.嫌疑人魏文茵計算機中存在幾個加密分區?(答案格式:3個)
取證軟件里面就看到一個
5.嫌疑人魏文茵計算機中安裝了哪個第三方加密容器?(答案格式:VeraCrypt))
直接看桌面上就有TrueCrypt。

6.接上題，嫌疑人魏文茵計算機中加密容器加密后的容器文件路徑？(答案格式:C:\xxx\xxx)

就在加密容器文件里面看到C:/Users/WH/Documents/《穿越六十年代小知青》作者：平淡生活.txt
7.嫌疑人魏文茵計算機中磁盤分區BitLocker加密恢復秘鑰為?(答案格式: 000000-000000-000000-
000000-000000-000000-000000-000000)
直接在原始檢材里面搜索恢復密鑰，得到結果
還有一種方法，因為它是6位數字和橫杠的重復，所以可以用正則表達式去匹配。表達式如下：
\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}
搜索得到最終答案000649-583407-395868-441210-589776-038698-479083-651618
8.嫌疑人魏文茵計算機中BitLocker加密分區中“攻略.docx”文檔里涉及多少種詐騙方式?(答案格式:11)

解鎖bitlocker，文檔當中有目錄總共有38條。

9.投資理財團伙“華中組”目前詐騙收益大約多少?(答案格式:10萬)(★★☆☆☆)
10.通過對嫌疑人魏文茵計算機內存分析，print.exe的PID是？(答案格式:123)
直接用vol分析，vol -f .\memdump.mem --profile=Win10x64_10586 pslist print.exe的PID就是728

11.根據臧覓風的計算機分析，請給出技術人員計算機“zang.E01”的SHA-1?(答案格
式:7B2DC1741AE00D7776F64064CDA321037563A769)
在盤古石取證軟件里面直接看到239f39e353358584691790dda5ff49baa07cfdbb

12.根據臧覓風的計算機分析，請給出該技術人員計算機“zang.E01”的總扇區數？(答案格
式:100,000,000)
和上題一張圖，536870911+1=536870912
13.根據臧覓風的計算機分析，以下那個文件不是技術人員通過瀏覽器下載的？(答案格式:A）
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe
仿真變成虛擬機，打開Google Chrome查看下載內容

除了百度云盤的安裝文件，剩下的都可以找到

14.根據臧覓風的計算機分析，請給出該技術人員郵件附件“好東西.zip”解壓密碼？(答案格式:abc123)
(★★★★★)
15.根據臧覓風的計算機分析，該技術人員電腦內曾通過遠程管理工具連接過服務器“master.k8s.com”,
請給出連接的端口號？(答案格式:22)
仿真之后，看到桌面上的遠程管理工具SecureCRT，打開全局設置

打開目錄，往下就能看見Knownhosts，在里面可以看到很多服務器的配置信息master.k8s.com的端口號就是2282

16.根據臧覓風的計算機分析，接上題，請給出服務器的密碼？(答案格式:password）
在計算機里面可以用賬號信息作為關鍵詞搜索，得到結果P@ssword

17.根據臧覓風的計算機分析，據該技術人員交代，其電腦內有個保存各種密碼的txt文件，請找出該文
件，計算其MD5值？(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)
在里面用passwords等關鍵詞搜索，在計算機里面找到passwords.txt

MD5:c1934045c3348ea1ba618279aac38c67
18.根據臧覓風的計算機分析，該技術人員曾使用過加密容器反取證技術，請給出該容器掛載的盤符？
(答案格式:A)
19.根據臧覓風的計算機分析，請給出該技術人員電腦內keePass的Master Password？(答案格
式:password12#)(★★★★☆)
20.根據臧覓風的計算機分析，請給出該技術人員所使用的爬蟲工具名稱？(答案格式:xxx)(★★☆☆☆)
21.根據臧覓風的計算機分析，請給出該技術人員所使用的爬蟲工具名稱？(答案格式:xxx)(★★☆☆☆)
22.根據臧覓風的計算機分析，以下那個不是該技術人員通過爬蟲工具采集的數據？(答案格式:A)
(★☆☆☆☆)
A.中國證券投資基金業協人員信息
B.倉山區市場監督管理局行政執法人員信息
C.清平鎮衛生院基本公共衛生服務
D.倉山區市場監督管理局行政執法人員信息
23.根據臧覓風的計算機分析，該嫌疑人曾瀏覽過“阿里云WebDAV”，請給出該“阿里云WebDAV”端口
號？(答案格式:2211)(★★☆☆☆)
24.根據臧覓風的計算機分析，請給出該技術人員電腦內代理軟件所使用的端口號？(答案格式:2211)
(★★☆☆☆)
25.根據臧覓風的計算機分析，接上題，請給出該代理軟件內訂閱鏈接的token？(答案格
式:abc1234df334…)(★★☆☆☆)
26.根據臧覓風的計算機分析，請給出該技術人員電腦內用于內部通聯工具的地址和端口？(答案格式:ww
w.baidu.com:1122)(★★★☆☆)
27.根據臧覓風的計算機分析，請給出該電腦內存鏡像創建的時間（北京時間）？(答案格式:2023-05-06
14:00:00)(★☆☆☆☆)
28.根據臧覓風的計算機分析，以下那個不是“chrone.exe”的動態鏈接庫？(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll
29.根據臧覓風的計算機分析，請給出“\REGISTRY\MACHINE\SYSTEM”在內存鏡像中的虛擬地址是多
少？(答案格式:0xxxxx123…)(★★☆☆☆)
30.根據臧覓風的計算機分析，據嫌疑人交代，其電腦上曾存打開過一個名為“賬號信息.docx”的文檔，請
給出該文檔的最后訪問時間（北京時間）？(答案格式:2023-05-06 14:00:00)(★★★★☆)
31.根據臧覓風的計算機分析，接上題，請給出該文檔的存儲路徑？(答案格式:C:\xxx\xxx)(★★★☆☆)
32.嫌疑人容恨寒蘋果電腦的系統版本名稱是？(答案格式:注意大小寫)

直接看到蘋果電腦系統版本macOS 12.6
33.嫌疑人容恨寒蘋果電腦操作系統安裝日期是？(答案格式:2000-01-01)
先試試仿真，開機密碼apple，在之前的安卓手機的備忘錄里面有的，然后在系統信息里面找到安裝時間 安裝時間2022-10-09

34.嫌疑人容恨寒蘋果電腦的內核版本是？(答案格式:xxxxx 11.0.4，注意大小寫)(★☆☆☆☆)
35.嫌疑人容恨寒蘋果電腦有多少正在運行的后臺程序？(答案格式:20)(★★☆☆☆)
36.嫌疑人容恨寒蘋果電腦最后一次關機時間（GMT）？(答案格式:2000-01-01 01:00:09)(★★☆☆☆)
37.嫌疑人容恨寒蘋果電腦執行過多少次查詢主機名稱命令？(答案格式:20)(★★★☆☆)
38.從嫌疑人容恨寒蘋果電腦中找出“陸文杰”提現金額是？(答案格式:20)(★★★★☆)
39.從嫌疑人容恨寒蘋果電腦中找出嫌疑人容恨寒上午上班時長是？(答案格式:8小時)(★★★★☆)
40.從嫌疑人容恨寒蘋果電腦中找出“萬便”的郵箱是？(答案格式:xxx@xxx.xx)(★★★★☆)
41.通過分析得出嫌疑人容恨寒小孩的年齡是？(答案格式:10歲)(★★★☆☆)

二進制文件分析
1.根據魏文茵的計算機分析，惡意程序加了什么類型的殼(答案：asdcz)(★★☆☆☆)
2.根據魏文茵的計算機分析，惡意程序調用了幾個dll(答案：1)(★★★☆☆)
3.根據魏文茵的計算機分析，惡意程序中send函數被多少個函數調用(答案：1)(★★★☆☆)
4.根據魏文茵的計算機分析，惡意程序遠控端ip(答案：120.1.2.3)(★★☆☆☆)
5.根據魏文茵的計算機分析，惡意程序遠控端端口(答案：123)(★★☆☆☆)
6.根據魏文茵的計算機分析，惡意程序用到是tcp還是udp(★★★☆☆)
A.tcp
B.udp
7.根據魏文茵的計算機分析，惡意程序能執行幾條命令(答案：123)(★★★★☆)
8.根據魏文茵的計算機分析，惡意程序加密電腦文件對應是哪個命令(答案：1a)(★★★☆☆)
9.(多選題)根據魏文茵的計算機分析，惡意程序加密哪些后綴文件(★★★☆☆)
A.docx
B.xlsx
C.pdf
D.doc
10.根據魏文茵的計算機分析，編寫該程序電腦的用戶名是(答案：12345)(★★★★★)
11.嫌疑人魏文茵計算機中“工資表.xlsx”中，發放工資總金額為：(答案格式:12345))(★★★★★)

暗網取證
1.臧覓風電腦使用暗網瀏覽器版本是？(答案格式：10.0.0)(★☆☆☆☆)
2.臧覓風電腦使用的暗網瀏覽器歷史記錄中最多瀏覽內容是？(答案格式：制作)(★★☆☆☆)
3.臧覓風電腦使用的暗網網瀏覽器書簽“社工庫”添加的時間是？(答案格式：2000-01-01 01:00:09)
(★★★★☆)
4.臧覓風電腦使用的暗網瀏覽器第一次使用時間是？(答案格式：2000-01-01 01:00:09)(★★★☆☆)
5.臧覓風電腦使用的暗網瀏覽器擴展應用中“ftp.js”文件的md5值是？(答案格式：字母小寫)(★★★★★)

物聯取證
1.請給出該軟路由管理的IP地址？(答案格式:192.168.1.1)(★☆☆☆☆)
2.請給出該軟路由管理員的密碼？(答案格式:admin123!@#)(★★★☆☆)
3.請給出阿里云WebDAV的token？(答案格式:bac123sasdew3212…)(★★☆☆☆)
4.請給出該軟路由所用機場訂閱的token？(答案格式:bac123sasdew3212…)(★★☆☆☆)
5.請給出該軟路由數據卷的UUID？(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)
6.請給出該軟路由的共享路徑？(答案格式:/home/data)(★★☆☆☆)

服務器取證
1.請給出IM服務器的當前Build版本？(答案格式:11111)(★☆☆☆☆)
2.請給出IM聊天服務的啟動密碼？(答案格式:3w.Baidu.com)(★★★★★)
3.請給出該聊天服務器所用的PHP版本？(答案格式:7.2.5)(★★★★☆)
4.請給出該服務器所用的數據庫類型及版本？(答案格式:mysql 5.7.1)(★★★★★)
5.請給出該服務器MySQL數據庫root賬號的密碼？(答案格式:3w.baidu.com)(★★★★★)
6.請給該IM服務器內當前企業所使用的數據庫？(答案格式:admin_admin)(★★★★☆)
7.請給出該組織“usdtreclub”內共有多少個部門（不含分區）？(答案格式:1)(★★★☆☆)
8.客戶端消息傳輸采用哪種加密形式？(答案格式:A)(★★☆☆☆)
A.AES128
B.AES256
C.DES
D.Base64
9.以下那個不是此系統提供的應用？(答案格式:A)(★★☆☆☆)
A.云盤
B.審批
C.會議
D.考勤
10.請給出“ 2023-04-11 21:48:14”登錄成功此系統的用戶設備MAC地址？(答案格式:08-AA-33-DF-1A)
(★★★☆☆)
11.請給出用戶“盧正文”的手機號碼？(答案格式:13888888888)(★★★★☆)

集群服務器取證
1.請給出集群master節點的內核版本？(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)
2.請給出該集群的pod網絡？(答案格式:192.168.0.0/24)(★★★★☆)
3.請給出該集群所用的網絡插件？(答案格式:abcd)(★★☆☆☆)
4.默認ns除外，本集群共有多少個ns？(答案格式:1)(★★★☆☆)
5.請給出該集群的集群IP？(答案格式:192.168.0.0)(★★☆☆☆)
6.請給出該ns為“licai”svc為“php-svc”的訪問類型？(答案格式:Abc)(★★☆☆☆)
7.請給出ns為“shuadan”下的的PHP版本？(答案格式:1.1)(★★★★★)
8.請給出本機集群所使用的私有倉庫地址？(答案格式:192.168.0.0)(★★★★☆)
9.接上題，請給出登錄該私有倉庫所用的token？(答案格式:bae213ionada21…)(★★★★★)
10.請給出“licaisite”持久化存儲的大小？(答案格式:10G)(★★☆☆☆)
11.接上題，請給出對應的存儲持久化聲明名稱？(答案格式:abc-abc)(★★★☆☆)
12.請給出集群內部署網站所使用數據庫的IP地址和端口號？(答案格式:192.168.0.0:8080)(★★★☆☆)
13.請給出網站“vip.kefu.com”所使用的端口號？(答案格式:8080)(★★☆☆☆)
14.請給出網站“vip.shuadan.com”連接數據庫所使用的賬號和密碼？(答案格式root/password)
(★★★★★)
15.請給出調證數據庫的版本號？(答案格式5.7.1)(★★★★★)
16.請給出刷單網站客服域名？(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)
17.請給出理財客服系統用戶“admin”共有多少個會話窗口？(答案格式:123)(★★★★★)
18.刷單客服是嵌套在刷單源碼下那個文件內，請給出該文件在網站源碼內的目錄和文件名？(答案格
式:www.baidu.com:8080/login.html)(★★★★★)
19.請統計出刷單網站后臺累計提現成功的金額？(答案格式:1000)(★☆☆☆☆)
20.請給出受害人上級的電話號碼？(答案格式:13888888888)(★★★☆☆)
21.請給出刷單網站受害人加款的時間（北京時間）？(答案格式:2023-05-06 14:00:00)(★★★☆☆)
22.該理財網站曾經被掛馬，請給出上傳木馬者的IP？(答案格式:192.168.10.10)(★★★☆☆)
23.接上題，請找到此木馬，計算該木馬的md5？(答案格式:123dadgadad332…)(★★★☆☆)
24.請統計該投資理財平臺累計交易額為多少億？(答案格式:1.8)(★★☆☆☆)
25.請給出該虛擬幣投資平臺內用戶“李國斌”的銀行卡號？(答案格式:622222222222222)(★★★☆☆)
26.分析該虛擬幣投資平臺財務明細表，用戶“13912345678”共支出多少錢（cnc）, 結果保留兩位小數？
(答案格式:10000.00)

總結

以上是生活随笔為你收集整理的盘古石杯电子取证比赛WP的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。