2024平航杯部分复现 | 您所在的位置:网站首页 › 平航手机取证分析软件用法 › 2024平航杯部分复现 |
闻早起部分
一、介质取证
电脑 1、教徒“闻早起”所使用的笔记本电脑使用何种加密程式? 答案:VeraCrypt 打开火眼证据分析 在文件中直接找到了VC由于暂时没有找到别的可疑加密程序所以答案猜测是VC 2、教徒“闻早起”所使用的笔记本电脑中安装了一款还原软件,其版本号为?【标准格式:1.2.3.4】 答案:8.71.020.5734 创建虚拟机 打开虚拟机发现需要密码 查看闻早起的检材照片发现电脑上贴着疑是密码的字符 输入密码后发现还需要pim(一般需要密码和pim) 密码:5FlowerMa)(ThousandGoldQiu]'/[;. (官方给的实际中文音“五花马,千金裘”) pim:88 打开后发现还原软件冰点还原 在桌面上找到软件的版本号信息
3、教徒“闻早起”所使用的笔记本电脑中登录的微信内部id为?【标准格式:ABCabc123】 答案:wxid_bsvr29ygby9712 进入电脑的WeChat Files文件夹,微信的内部id一般存放在这里 4、教徒“闻早起”所使用的笔记本电脑中名为“2023年Q4飞天五子棋教部门规章.docx”的下载地址为?(保留整个url)【标准格式:http://www.baidu.com:8080/admin.php】 答案:http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456 打开谷歌downloads发现“2023年Q4飞天五子棋教部门规章.docx”下载记录 进入C:\Users\Administrator(C:\用户\用户名),点击查看,勾选隐藏项目 进入 AppData\Local\Google\Chrome\User Data\Default 找到History将其拖到db browser打开,查看其downloads找到第五条为“2023年Q4飞天五子棋教部门规章.docx” 找到tab_url:http://openim.sys.lab:11001/#/chat/si_4690220374_6898676456(是从聊天中下载的) 补充: tab_url可能是在标签页(tab)中当前显示的网页地址(URL),在开发浏览器扩展或与浏览器交互的脚本时,tab_url可能会用作存储或访问当前标签页URL的变量名。 5、教徒“闻早起”所使用的笔记本电脑中浏览器保存的聊天系统密码为?【标准格式:ABCabc123】 答案:e290c5be371f4 在靶机中安装webbrowserPassView 打开查看即可得到密码 U盘 6、教徒“闻早起”所使用的U盘中,共有几份邪教文档?【标准格式:1】 答案:4 用VC挂载U盘在检材照片中有密码和pim 密码:GlGjSSy)(*QyHfBqz()- (官方给的实际中文音“苟利国家生死以,岂因福祸避趋之”) pim:15 打开VC直接加载发现不正确 用csi在H盘挂载一个虚拟磁盘 再次打开VC,点击选择设备 再次挂载挂载成功 打开磁盘查看一共4份邪教文档 7、教徒“闻早起”所使用的U盘中,有一份文档明显提到了自焚时间,其时间为?(yyyy年mm月dd日,月日中0不保留)【标准格式:2025年1月1日】 答案:2001年1月23日 打开文档查看 8、教徒“闻早起”所使用的笔记本电脑中有一个疑似木马病毒的文件,请找出该文件,并计算恶意程序的sha256(英文字母全大写)【标准格式:ABCCBA】 答案:C697009F1DCF0CFEEA75B0610449696A2BCF1C0733448284941BD9147AAD9832 玉王直部分一、介质取证 电脑 打开火眼证据分析 发现没有什么可以利用的,直接仿真创建虚拟机 创建成功打开后发现一样需要密码和pim 打开检材照片发现密码和pim但pim不全需要枚举 密码:[]\BadQianMingMoonGuang14DSS,./ (官方给的实际中文音“床前明月光,疑是地上霜。”) pim:18(枚举得到) U盘 由图 可知直接连在电脑的U盘是 那么从身上搜出来的U盘就是 65、玉王直所使用的标签为“飞天五子棋教”的u盘密码为?【标准格式:ABCabc123!@#】 答案:ChaoPing2AnOpen)(*FengZheng1FanOver=-() 最开始不知道U盘密码和pim是啥,后面做到手机的时候在图片里找到了 密码:ChaoPing2AnOpen)(*FengZheng1FanOver=-() (官方给的实际中文音“潮平两岸阔 风正一帆悬。”) pim:30 66、玉王直所使用的标签为“飞天五子棋教”的u盘中“(内部)(机密)飞天五子棋教福音传播资料”中的“P5_4”集的md5值为?(英文字母全大写)【标准格式:ABCCBA】 答案:E49667FFBDDD49581B89C40CA76478D1 服务器部分CSI挂载,挂载时要改为写入临时文件 一共要挂载6个虚拟磁盘 打开磁盘管理将盘符删去防止识别不到 删去后 打开vm搭建虚拟机 |
CopyRight 2018-2019 实验室设备网 版权所有 |