2024平航杯部分复现

电脑

1、教徒“闻早起”所使用的笔记本电脑使用何种加密程式？

答案：VeraCrypt

打开火眼证据分析

在文件中直接找到了VC由于暂时没有找到别的可疑加密程序所以答案猜测是VC

2、教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件，其版本号为？【标准格式：1.2.3.4】

答案：8.71.020.5734

创建虚拟机

打开虚拟机发现需要密码

 查看闻早起的检材照片发现电脑上贴着疑是密码的字符

输入密码后发现还需要pim（一般需要密码和pim）

密码：5FlowerMa)(ThousandGoldQiu]'/[;.

（官方给的实际中文音“五花马，千金裘”）

pim：88

打开后发现还原软件冰点还原

 在桌面上找到软件的版本号信息

3、教徒“闻早起”所使用的笔记本电脑中登录的微信内部id为？【标准格式：ABCabc123】

答案：wxid_bsvr29ygby9712

进入电脑的WeChat Files文件夹，微信的内部id一般存放在这里

4、教徒“闻早起”所使用的笔记本电脑中名为“2023年Q4飞天五子棋教部门规章.docx”的下载地址为？（保留整个url）【标准格式：http://www.baidu.com:8080/admin.php】

答案：http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456

打开谷歌downloads发现“2023年Q4飞天五子棋教部门规章.docx”下载记录

进入C:\Users\Administrator（C:\用户\用户名），点击查看，勾选隐藏项目

进入 AppData\Local\Google\Chrome\User Data\Default

找到History将其拖到db browser打开，查看其downloads找到第五条为“2023年Q4飞天五子棋教部门规章.docx”

找到tab_url：http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456（是从聊天中下载的）

补充：

tab_url可能是在标签页（tab）中当前显示的网页地址（URL），在开发浏览器扩展或与浏览器交互的脚本时，tab_url可能会用作存储或访问当前标签页URL的变量名。

5、教徒“闻早起”所使用的笔记本电脑中浏览器保存的聊天系统密码为？【标准格式：ABCabc123】

答案：e290c5be371f4

在靶机中安装webbrowserPassView

 打开查看即可得到密码

U盘

6、教徒“闻早起”所使用的U盘中，共有几份邪教文档？【标准格式：1】

答案：4

用VC挂载U盘在检材照片中有密码和pim

密码：GlGjSSy)(*QyHfBqz()-

（官方给的实际中文音“苟利国家生死以，岂因福祸避趋之”）

pim：15

打开VC直接加载发现不正确

用csi在H盘挂载一个虚拟磁盘

再次打开VC，点击选择设备

再次挂载挂载成功

打开磁盘查看一共4份邪教文档

7、教徒“闻早起”所使用的U盘中，有一份文档明显提到了自焚时间，其时间为？(yyyy年mm月dd日，月日中0不保留)【标准格式：2025年1月1日】

答案：2001年1月23日

打开文档查看

8、教徒“闻早起”所使用的笔记本电脑中有一个疑似木马病毒的文件，请找出该文件，并计算恶意程序的sha256(英文字母全大写)【标准格式：ABCCBA】

答案：C697009F1DCF0CFEEA75B0610449696A2BCF1C0733448284941BD9147AAD9832

一、介质取证

电脑

打开火眼证据分析

发现没有什么可以利用的，直接仿真创建虚拟机

 创建成功打开后发现一样需要密码和pim

打开检材照片发现密码和pim但pim不全需要枚举

密码：[]\BadQianMingMoonGuang14DSS,./

（官方给的实际中文音“床前明月光，疑是地上霜。”）

pim：18（枚举得到）

U盘

由图

可知直接连在电脑的U盘是

那么从身上搜出来的U盘就是

65、玉王直所使用的标签为“飞天五子棋教”的u盘密码为？【标准格式：ABCabc123!@#】

答案：ChaoPing2AnOpen)(*FengZheng1FanOver=-()

最开始不知道U盘密码和pim是啥，后面做到手机的时候在图片里找到了

密码：ChaoPing2AnOpen)(*FengZheng1FanOver=-()

（官方给的实际中文音“潮平两岸阔 风正一帆悬。”）

pim：30

66、玉王直所使用的标签为“飞天五子棋教”的u盘中“（内部）（机密）飞天五子棋教福音传播资料”中的“P5_4”集的md5值为？(英文字母全大写)【标准格式：ABCCBA】

答案：E49667FFBDDD49581B89C40CA76478D1

CSI挂载，挂载时要改为写入临时文件

一共要挂载6个虚拟磁盘

打开磁盘管理将盘符删去防止识别不到

删去后

打开vm搭建虚拟机