2023盘古石杯晋级赛

VC加密容器密码:usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

案情简介

2023年4月,公安机关接到受害人张娟报案称自己在“USDTRE”虚拟币投资理财平台被骗。据公安机关了解,受害人张娟在抖音平台推送的“物联智慧购”兼职刷单招聘平台注册了个人信息,后有一位自称是“物联智慧购”兼职招聘的工作人员容某与自己联系,双方还互加了微信好友。刚开始,受害人通过兼职刷单获得了一些利润,后容某向其推荐了“USDTRE”投资理财平台,还向其介绍了投资导师魏某,在魏某的指导下,受害人刚开始获利,大额投资后无法提现,方知被骗。公安机关接警后,立即成立专案小组,通过公安机关的侦查与分析,锁定了该诈骗团伙的业务窝点,并将容某和魏某抓获,并扣押了容某的安卓手机1部、苹果电脑1台,魏某的安卓、苹果手机各1部,电脑1台。同时,公安机关还摸排到了该诈骗团伙的设备窝点,并在设备窝点抓获了平台技术人员臧某,扣押了臧某的安卓手机1部,电脑1台,软路由1台,调证服务3台,调证数据库1个。以上检材已分别制作了镜像,检材清单见附件。请结合案情,对上述检材进行勘验与分析,完成以下题目。

Android程序分析

1、涉案应用刷刷樂的签名序列号是

image-20240125100443640

2、涉案应用刷刷樂是否包含读取短信权限

image-20240125100640856

3、涉案应用刷刷樂打包封装的调证ID值是

image-20240125100747704

4、涉案应用刷刷樂服务器地址域名是

image-20240125101410101

5、涉案应用刷刷樂是否存在录音行为

找到权限设置的源码

image-20240125103217254

6、涉案应用未来资产的包名是

image-20240125103421716

7、涉案应用未来资产的语音识别服务的调证key值是

image-20240125103940986

8、涉案应用未来资产的服务器地址域名是

image-20240125104217328

9、涉案应用未来资产的打包封装的调证ID值是是

image-20240125104312910

移动终端取证

1、根据容恨寒的安卓手机分析,手机的蓝牙物理地址是

文件集合中的deviceinfo的json文件

image-20240125105512903

2、根据容恨寒的安卓手机分析,SIM卡的ICCID是

image-20240125105722983

3、根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是

image-20240125110439824

image-20240131111936503

4、根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是

找到坚果pro3\data\data\com.qim.imm\

image-20240125112204417

按照时间降序后找到发的最后一条消息

image-20240125112126199

image-20240125112110372

5、根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是

文件在\storage\emulated\0\Android\data\com.qim.imm\files\Potato\Attachment

img

6、根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是

批量解码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
import pandas as pd
import base64
csv_file_path = 'your_csv_file.csv' # 替换为你的CSV文件路径
df = pd.read_csv(csv_file_path)

# 获取BODY列的数据
t_column_data = df['BODY']

# 解码Base64并写入txt文件
output_file_path = 'output.txt' # 替换为你想要输出的txt文件路径

with open(output_file_path, 'w') as txt_file:
for value in t_column_data:
try:
decoded_value = base64.b64decode(value).decode('utf-8')
txt_file.write(decoded_value + '\n')
except Exception as e:
print(f"Error decoding value: {value}, Error: {e}")

print(f"Decoded values have been written to {output_file_path}")

得到密码规则:

image-20240125125030543

文件在\storage\emulated\0\Android\data\com.qim.imm\files\Potato\Attachment

passware kit爆破

image-20240125130921443

image-20240125130849298

7、根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是

image-20240126095143647

image-20240126095214341

找到用户与部门间的关系进行查询

image-20240126103012963

9、根据容恨寒的安卓手机分析,MAC的开机密码是

备忘录中

10、根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是

盘古石手机取证分析梭

11、根据魏文茵苹果手机分析,IMEI号是

image-20240126110659463

12、根据魏文茵苹果手机分析,可能使用过的电话号码不包括

火眼一个一个搜

13、根据臧觅风的安卓手机分析,微信ID是

image-20240126111523906

14、根据臧觅风的安卓手机分析,在哪里使用过交友软件

image-20240126111645253

15、根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号

image-20240126111849072

16、根据臧觅风的安卓手机分析,购买源码花了多少BTC?

image-20240126112113505

17、根据臧觅风的安卓手机分析,接收源码的邮箱是

image-20240126113401460

18、嫌疑人容恨寒苹果手机的IMEI是?

在容恨寒的PC的嵌套文件中

image-20240131112823142

19、嫌疑人容恨寒苹果手机最后备份时间是?

image-20240131112854050

20、嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)

image-20240131113924136

21、嫌疑人容恨寒苹果手机微信ID是

image-20240131114027554

计算机取证

取证大师找到BitLocker密钥

image-20240127125956370

image-20240127132103691

1、嫌疑人魏文茵计算机的操作系统版本?

image-20240127131431526

2、嫌疑人魏文茵计算机默认的浏览器是?

仿真后看默认应用设置

image-20240127133812954

3、嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?

A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx D:脚本.docx

image-20240127134017284

4、嫌疑人魏文茵计算机中存在几个加密分区?

image-20240127134119568

5、嫌疑人魏文茵计算机中安装了哪个第三方加密容器?

image-20240127134221155

6、接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?

image-20240127134353280

7、嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?

见上面

8、嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?

导出后查看或直接预览查看

image-20240127134835997

9、投资理财团伙“华中组”目前诈骗收益大约多少?

10、通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是

image-20240127141912472

11、根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1

image-20240127144525277

12、根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数

image-20240127142747609

13、根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

image-20240127143037888

14、根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)

先下载

image-20240127143905224

里面是之前买的源码,密码是邮箱:kangshifu0008@gmail.com

image-20240127144139622

15、根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号?

桌面的远程连接工具SecureCRT

image-20240129113827663

查看配置文件

image-20240129113721498

16、根据臧觅风的计算机分析,接上题,请给出服务器的密码

火眼可以跑出被删掉的账号密码docx文档

image-20240129114922670

17、根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文件,计算其MD5值

找敏感词password

image-20240129120310728

image-20240129121132726

18、根据臧觅风的计算机分析,该技术人员曾根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?(答案格式:A)

看最近访问

image-20240129121700055

19、根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格式:password12#)

在取证大师可以看到加密文件,盲猜是TC加密文件

image-20240129131753394

导出后用PasswareKit用内存mem解密后用火眼解析

image-20240129132826959

20、根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?

前面的聊天中也有提到

image-20240129133135028

21、根据臧觅风的计算机分析,接上题,该技术人员通过该采集器一共采集了多少条人员信息数据?

在容恨寒的手机中

image-20240130153827413

22、根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据

看上题图

23、根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口号

image-20240130161650637

image-20240130161631570

24、根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号

看电脑clash的配置文件

image-20240130162804682

25、根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token

软件里看

image-20240130163640591

26、根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口

桌面软件打开看设置

image-20240130164203888

27、根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)

image-20240130165507877

image-20240130172507595

28、根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库

image-20240131090240887

29、根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少

image-20240131091310243

30、根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请给出该文档的最后访问时间(北京时间)

image-20240131091832989

32、根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?

image-20240131091953754

33、嫌疑人容恨寒苹果电脑的系统版本名称是

image-20240131095026953

image-20240131095003967

33、嫌疑人容恨寒苹果电脑操作系统安装日期是

image-20240131095113961

34、嫌疑人容恨寒苹果电脑的内核版本是

仿真后uname -a即可查看

image-20240131100624456

35、嫌疑人容恨寒苹果电脑有多少正在运行的后台程序

活动监视器中查看或者用ps aux查看

image-20240131101738585

36、嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)

image-20240131101953309

image-20240131102121367

37、嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令

uname用于查询系统相关信息;查询主机名称用hostname;在 macOS 上,hostnamectl 命令通常不可用,因为它是一个针对 Linux 系统的命令,用于管理系统的主机名。

image-20240131102617888

38、从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是

仿真后后可以看到桌面有一个流水文件,导出分析

image-20240131114134941

发现是rar文件,改后缀打开发现加密了

image-20240131114324669

加密规则还是之前的

image-20240131114834829

image-20240131114850608

打开excel后筛一下就能看到

image-20240131115349516

39、从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是

image-20240131124257435

40、从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是

人员信息中找一下

image-20240131124426538

41、通过分析得出嫌疑人容恨寒小孩的年龄是

废纸篓中找到八年级的奥数教程,搜索相关资料,发现大概率是一年级

image-20240131125554656

二进制文件分析

1、根据魏文茵的计算机分析,恶意程序加了什么类型的壳

暗网取证

1、臧觅风电脑使用暗网浏览器版本是

藏的电脑里的tor的zip文件被删了但魏的还在

image-20240131163742303

打开软件后可查看版本

image-20240131164155446

2、臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是

看历史记录

image-20240131164317459

3、臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是

可以选择显示添加日期

image-20240131164650356

4、臧觅风电脑使用的暗网浏览器第一次使用时间是

image-20240131165016565

5、臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是

扩展程序位置在Tor Browser\Browser\TorBrowser\Data\Browser\profile.default\extensions

解压{73a6fe31-595d-460b-a920-fcc0f8843232}.xpi文件

用everything找到文件后算一下md5

image-20240131170305092

物联取证

1、请给出该软路由管理的IP地址

ip a查看网卡配置,根据网卡配置虚拟机网络

image-20240201113622536

2、请给出该软路由管理员的密码

image-20240201113806009

主机能ping通虚拟机后就可以用finalshell或xshell能工具连接了,连接时显示需要密码

在Linux系统中,密码的配置文件通常是/etc/passwd/etc/shadow

记录时md5加密后的内容,解密下

image-20240201115230782

3、给出阿里云WebDAV的token

image-20240201131634622

试着登一下网站

image-20240201131923721

或者etc/config目录下有相关配置文件

image-20240202090307593

4、请给出该软路由所用机场订阅的token

image-20240201132408817

etc/config目录里有socks代理的配置文件

image-20240202090824257

5、请给出该软路由数据卷的UUID

blkid命令查询

image-20240201132603893

6、请给出该软路由的共享路径

image-20240201141030427

共享目录下找到Windows Server 2019虚拟机

服务器取证

1、请给出IM服务器的当前Build版本

IM虚拟机在软路由的共享目录里,服务器有点大,注意磁盘空间,不够的话会失败。

image-20240201164230713

导到本地打开发现要密码

image-20240201142443315

丢到火眼里看一眼有没有备忘录之类的

image-20240201143649089

这个是错的,再找找

image-20240201143510986

或用火眼对镜像进行仿真得到的虚拟机的密码就是正常的P@ssw0rd

image-20240201155331437

仿真后可以看到

image-20240201160020745

2、请给出IM聊天服务的启动密码

应该是后面找到的那个启动密码不是登录密码

3、请给出该聊天服务器所用的PHP版本

装个everything直接找目录

image-20240202083245428

直接php -v

image-20240202083424480

4、请给出该服务器所用的数据库类型及版本

用everything找一下是什么数据库,发现是MySQL

image-20240202084421596

5、请给出该服务器MySQL数据库root账号的密码

everything找一下配置文件

image-20240202101416650

6、请给该IM服务器内当前企业所使用的数据库

装个navicat可视化数据苦软件,用上题找到的密码打开本地的MySQL数据库看看

image-20240202103045172

反正数据库在本地,直接将admin的密码改成自己的密码的md5

image-20240202110238864

image-20240202112226870

7、请给出该组织“usdtreclub”内共有多少个部门(不含分区)

点击控制台进入用户管理后台

image-20240202113208416

image-20240202113417189

8、客户端消息传输采用哪种加密形式

在系统设置里

image-20240202113619777

9、以下那个不是此系统提供的应用

image-20240202113742213

10、请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址

16位是以微秒为单位进行计算的时间戳

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
时间戳到时间:
import datetime
# 输入的微秒时间戳
timestamp_microseconds = 1681224289800008
# 将微秒转换为秒
timestamp_seconds = timestamp_microseconds / 1000000
# 转换为 datetime 对象
datetime_obj = datetime.datetime.fromtimestamp(timestamp_seconds)
# 打印日期时间
print(datetime_obj)
时间到时间戳:
import datetime
# 输入日期时间
dt = datetime.datetime(2023, 4, 11, 21, 48, 14, 0)
# 将日期时间转换为微秒级时间戳
timestamp_microseconds = int(dt.timestamp() * 1000000)
# 打印微秒级时间戳
print(timestamp_microseconds)

image-20240202115345943

11、请给出用户“卢正文”的手机号码

image-20240202115558664

服务器集群

1、请给出集群master节点的内核版本

uname -r命令

image-20240202170041964

2、请给出该集群的pod网络