网站开发培训那个好,wordpress主页不显示,网站开发常见毕业设计题目,网站建设手机版模板盘古石杯电子数据取证比赛决赛复盘WP
写在前面
感谢朋友们提供的题目和检材#xff0c;现在才能好好地复盘整个比赛。
检材链接
链接#xff1a;https://pan.baidu.com/s/1iThyL6YCEM0vIRg9wvCgQg 提取码#xff1a;7179
案情简介
公安机关通过对“张娟虚拟币投资被诈…盘古石杯电子数据取证比赛决赛复盘WP
写在前面
感谢朋友们提供的题目和检材现在才能好好地复盘整个比赛。
检材链接
链接https://pan.baidu.com/s/1iThyL6YCEM0vIRg9wvCgQg 提取码7179
案情简介
公安机关通过对“张娟虚拟币投资被诈骗案”的诈骗团伙电子数据检材进行深入分析后还摸排到了该诈骗团伙上游的跑分团队通过办案部门的不懈努力最后在跑分窝点抓获了跑分平台技术人员John、卡农Bob扣押窝点NAS服务器1台、John计算机1台Bob安卓手机1部扫地机器人1台无人机1台智能门锁1把。同时公安机关摸排到了本案中勒索黑客Hacker抓取了Hacker计算机网络流量包扣押了其计算机。以上检材已分别制作了镜像检材清单见附件。请结合案情对上述检材进行勘验与分析完成以下题目。
检材总共300G和初赛一样的下载还是花了一天多的时间。 解压之后VeraCrypt挂载密码2ej)!,[JN-U;wm19Jd9sZt_L6#bf}[
流量分析
1.计算流量包文件的SHA256值是[答案字母小写]
没啥好说的直接右键计算哈希 得到答案2d689add281b477c82b18af8ab857ef5be6badf253db1c1923528dd73b3d61a9
2.流量包长度在“640-1279”之间的的数据包总共有多少[答案100]
在用Wireshark打开流量包之后在“统计”-“分组长度”界面就能看到答案179
3.黑客使用的计算机操作系统是[答案windows7 x32]
这题首先要做到利用Key.log解密TLS具体操作过程如下进入编辑-首选项界面 再在协议(Protocols)当中选择TLS 其他不动将(Pre)-Master-Secret log filename设置为key.log的位置就行就可以完成解密解密之后就会发现很多TLS解密了。 4.黑客上传文件到哪个网盘[答案xx网盘]
先按照Hosts进行分析看到统计-解析后的地址看到一大堆shifen.comDNA都动了这不就是百度网盘吗 接下来就是验证猜想了
5.黑客上传网盘的中间件是[答案xxxx]
Nginx这个可以在下面一题当中的数据包流当中找到
6.黑客首次登陆网盘时间是[答案2000-01-01 01:00:33] 7.黑客上传到网盘的txt文件的md5值是[答案字母小写]
8.黑客上传到网盘的txt文件第8行的内容是[答案XXX]
9.被入侵主机的计算机名是[答案XXXXXXXXXXX]
10.被入侵电脑的数据回传端口是[答案11]
11.流量包中ftp服务器的用户密码是[答案abcd]
直接利用协议ftp筛选ftp的流量包在最上面就能看到
USER www
331 Password required for www
PASS ftp
230 Logged on这样的话用户密码就很明显了就是ftp
12.流量包中ftp服务器中的木马文件的md5值是[答案字母小写]
首先要把木马文件导出来简单看一下就知道是那个setup.exe 利用FTP-DATA进行筛选得到数据流追踪流-TCP流-查看原始存储-另存为setup.exe就可以导出来了。 整出来就是一个360图标的exe。 之后就是右键计算哈希值2a49a00a1f0b898074be95a5bbc436e3
13.木马文件伪造的软件版本是[答案0.0.0.0]
7.5.1039
14.黑客上传到网盘的压缩包解压密码是[答案XXXXXXXXXXX]
15.黑客上传到网盘的压缩包内文件的内容是[答案xxxxxxx]
16.分析技术人员电脑内的手机流量包给出技术人员的虚拟身份账号是[答案格式:13039456655]
17.分析技术人员电脑内的手机流量包给出技术人员的虚拟身份密码是[答案格式:b3039456655]
18.分析技术人员电脑内的手机流量包分析技术人员的看过几段短视频[答案格式:3]
19.分析技术人员电脑内的手机流量包分析技术人员最后打开的软件的程序名称是[答案格式:微信]
20.分析技术人员电脑内的手机流量包分析安全防护的服务器地址是[答案格式:127.0.0.1]
移动智能终端取证
请注意这个检材是需要先解压再导入的直接在手机取证系统里面导入会有问题
1.分析卡农手机给出手机的SDK版本[答案格式:28] 在开始的界面就可以看到SDK版本30
2.分析卡农手机给出手机最近开机的时间[答案格式:2023-05-18-19:09:59]
在分类数据-系统日志-开机日志里面可以看到开机时间2023/05/15 10:09:29
3.分析卡农手机给出高德地图关联的手机号是[答案格式:13011221234]
直接在账号信息里面可以看到18317041122
4.分析卡农手机给出卡农内部聊天工具的昵称是[答案格式:李多余]
应用快照里面可以直接找到PGS CUP应用 接下来就是试着仿真看看首先找到安装的apk。在找到包名为cn.wildfirechat.app之后搜索得到apk的位置和数据的位置
在取证系统里面可以找到base.apk 安装之后就可以看到界面 之后就是把数据粘贴进模拟器的data/data目录下看到了和快照一样的界面然后点击我的 5.分析卡农手机给出卡农的真实名字可能是[答案格式:李多余]
卡农的真实名字在这里找了一会最后在账号信息里面找到了支付宝账号徐鹏坤
计算机取证
1.黑客计算机系统安装时间是[答案格式:2000/01/01 01:00:01]
打开分析软件一眼就能看到2023-05-10 13:31:47 08 火眼里面也可以看到
2.黑客计算机磁盘0的总磁道数[答案格式:数字中无标点] 仿真之后起来看到在分析软件里面不知道怎么看的。 仿真起来之后WinR打开运行界面输入msinfo32.exe进入系统信息再是组件-存储-磁盘查看到答案 3328770
3.黑客计算机的产品密钥是[答案格式:字母大写]
这里选择用了火眼的证据分析软件看了一眼 4.黑客计算机共有几次卷影拷贝服务关闭事件[答案格式:1]
5.黑客计算机的vc容器解密密码是[答案格式:字母小写]
6.黑客计算机加密容器中共有几个docx文件[答案格式:x]
7.黑客计算机加密容器中记录的bt币地址有几个[答案格式:x]
8.黑客计算机加密容器中记录的受害人共有多少人[答案格式:xx]
9.黑客计算机中win7虚拟机中www用户的登陆密码是[答案格式:xxxxxxx]
10.黑客计算机中win7虚拟机中chrome浏览“bjh.com”网站保存的密码是[答案格式:xx]
11.分析技术人员电脑请给出电脑系统安装时间UTC-0?[答案格式:20000-01-01 00:00:00]
12.分析技术人员电脑请给出电脑内用户John的SID[答案格式:x-x-x-x-x-x-x-x] 在分析软件里面可以直接看到S-1-5-21-2950582214-2327523445-121360615-1001
13.据技术人员交代其电脑连接过nas服务器请给出该nas服务器的iqn名称[答案格式:iqn.xxx]
14.分析技术人员电脑请给出该技术人员使用的隐写工具名称[答案格式:xx]
15.接上题请给出使用该隐写工具隐写文件所使用的密码[答案格式:xx]
16.据技术人员交代其电脑内存过一个名为“财务流水.rar”的文件请给出该文件的SHA-1?[答案格式:字母小写]
APK
1.分析技术人员的模拟手机给出安全防护的验证码是[答案格式:11226655]
2.分析技术人员的模拟手机给出安全防护的推送服务的调证值是[答案格式:11226655]
3.分析技术人员的模拟手机给出老板的联系方式是[答案格式:11226655]
4.分析技术人员的模拟手机给出办公场所是[答案格式:北京市朝阳区中山路25555号]
5.分析技术人员的模拟手机给出技术人员聊天工具的用户ID是[答案格式:QN11AATT]
二进制文件分析
1.分析黑客电脑控制端程序传输协议是什么协议[答案格式:http]
首先找到控制端程序名字就叫控制端.exe
2.分析黑客电脑控制端程序接收数据缓冲区大小是多少[答案格式:100]
3.分析黑客电脑控制端程序接收并判断几种指令[答案格式:1]
4.分析黑客电脑控制端程序连接结束指令是什么[答案格式:xxx]
5.分析黑客电脑控制端程序配置文件解密函数是什么?[答案格式:x_x]
6.分析黑客的木马程序该程序控制端ip是[答案格式:127.0.0.1]
7.分析黑客的木马程序程序在地址0x00410CA4处调用了Sleep函数请问该函数会暂停几秒[答案格式:3]
IDA打开那个setup.exe 首先找到函数所在位置就可以看到Sleep函数了进制转换一下16进制的64就是10进制100那就是0.1秒了
8.分析黑客的木马程序该程序“png”型资源下有两张图片程序图标对应图片的MD5值是[答案格式:字母小写]
9.分析黑客的木马程序哪个函数直接调用了HOST型资源[答案格式:sub_1234]
10.分析黑客的木马程序该程序会绕过哪个杀毒软件[答案格式:腾讯]
这个在在线云沙箱里面哪个都绕不过去但是看了黑客Update的文件之后分析得到可以绕过360
物联
1.分析扫地机器人数据robot1.bin采用的压缩算法是[答案格式:xxxx]
这里有参考过其他人的意见觉得Binwalk比较快直接看出来LZMA压缩算法
2.扫地机器人使用的软件版本是[答案格式:0.0.0]
因为不知道怎么解密LZMA所以只会暴力搜索下面还有几个扫地机器人的题目也是靠的暴力搜索 软件版本应该是3.1.0
3.扫地机器人id是[答案格式:21243245838790] 以id作为关键词暴力搜索得到答案robot_id3144460861838790答案就是3144460861838790
4.扫地机器人云证书的前6位是[答案格式:sdfead]
这里没想太多主要还是忘了证书的英文是certificate,直接用cloud作为关键词搜索运气好直接得到了云证书的前面几位MllDnj
5.扫地机器人连接过的wifi的ssid是(channl1)[答案格式:xx_xx_xx]
用channl1作为关键词搜索没东西就简单粗暴使用ssid作为关键词搜索第一个就是network.ssidELPASO_TPLINK_C04A00BD0769于是乎答案ELPASO_TPLINK_C04A00BD0769呼之欲出
6.扫地机器人连接过的wifi的密码是(channl1)[答案格式:xxxx]
在上面一张图片里面可以直接看到的NetWork.passphrase但是预览不到后面的直接拿这个当关键词搜索 第一个就看到admin123看起来就很像密码的样子。
7.扫地机器人的时区是[答案格式:xx/xx]
用timezone作为关键词搜索得到答案America/Denver美国/丹佛听起来也是个时区的名字
8.扫地机器人的名称是[答案格式:xxxxx]
用name作为关键词搜索得到结果VTORoomba
9.无人机飞行纬度前两位是[答案格式:xx]
解压之后打开属性面板就知道31
10.无人机的快门速度是[答案格式:x/xxx]
这里涉及到一个拍照的基础知识曝光时间和快门速度成反比 那么现在也就很明了答案快门速度就是400
11.分析智能门锁数据包请给出用户“wonderful”首次开门时间[答案格式:2000-01-01 00:00-00:00]
首先先把ExtractData文件夹下的那个压缩包解压了再把整个智能门锁的文件夹用vscode打开先看看是怎么样的CaseInfo用物联取证工具取的但是比赛的时候好像没有给License那就只能查看一下数据库了直接用DB Browser打开数据库文件打开aa表然后在log处使用wonderful来筛选最早的就是2023-02-17 18:56:38
12.分析智能门锁数据包请给出智能门锁MAC地址[答案格式字母大写]
在Lockinfo.json当中可以直接看到08:9B:4B:69:E8:57
服务器取证
1.请分析服务器给出NAS服务器系统账号密码[答案格式:xxxx]
首先还是仿真起来试试看的仿真最后的终端如下看到IP地址直接浏览器访问当时是使用Burp用字典爆破出来的rootpssw0rd但在之后的过程当中可以看到
2.请分析服务器给出NAS服务器的版本信息[答案格式:xx-xx-xx]
进入系统之后映入眼帘的大屏TrueNAS-13.0-U4 3.请分析服务器给出NAS服务器内用户SMB的邮箱[答案格式:xxxx]
先把语言改掉 进入账户界面点进smb的用户信息看到邮箱界面smbpaofen.com
4.请分析服务器给出NAS服务器系统告警服务使用的邮箱[答案格式:xxxx]
首先进入System界面再就是选择Alert Services 接下来点进Email编辑界面直接就能看到邮箱了11729369qq.com
5.请分析服务器给出NAS服务器内存储池名[答案格式:xxx]
存储-Storage,池-Pool那就进入Storage-Pool界面存储池的名字Pool
6.请分析服务器给出NAS服务器内有几个数据集和几个Zvol?[答案格式:0,0]
7.请分析服务器给出该NAS服务器存储监听IP和端口[答案格式:192.168.1.1:8080]
8.请分析服务器给出NAS服务器内iSCSI目标为web的连接所使用的启动器组ID[答案格式:xx]
9.请分析服务器给出web服务器连接NAS服务器所使用的iqn[答案格式:iqn.xxx]
10.请分析服务器给出web服务器连接NAS服务器所使用的账号和密码[答案格式:root/123]
11.请分析服务器给出redis所使用的配置文件[答案格式:/home/1.conf]
12.请分析服务器给出跑分网站后台根目录[答案格式:/xx/xx]
13.请分析服务器嫌疑人所使用的跑分系统可能来自哪请给出网站[答案格式:www.baidu.com]
14.请分析服务器给出数据库root账号密码[答案格式:password]
15.请分析服务器给出数据库备份文件存放路径[答案格式:/xx/xxx]
16.请分析服务器给出数据库备份文件解压密码[答案格式:password]
17.请分析服务器给出数据库备份文件间隔多少天会删除[答案格式:1]
18.请分析服务器给出数据库每天几点会执行备份操作[答案格式:00:00]
19.请分析服务器给出跑分网站后台用户余额总计[答案格式:1000]
20.请分析服务器给出跑分平台后天未处理的用户申请有多少个[答案格式:1000]
21.请分析服务器给出会员聂鸿熙推荐人的姓名[答案格式:张三][★★☆☆☆]
22.请分析服务器给出给出跑分平台内用户银行卡所属银行共有几家[答案格式:10][★★★★★]
23.接上题请给出这些银行中用户数最多的银行名称[答案格式:xx银行][★★★★★]
24.请分析服务器给出用户“祝虹雨”通过审核的充值总额[答案格式:10][★★★★★]
25.请分析服务器给出该跑分团队可能的办公大楼有几个[答案格式:1][★★☆☆☆]
26.请分析服务器给出用户John共提了几次会议预约申请通过了几个[答案格式:11][★★☆☆☆]
27.接上题用户John哪个时间段的会议预约申请次数最多[答案格式:2000-01-01 00:00-00:00]
[★★☆☆☆]
28.请分析服务器给出用户Harvey预约了什么时间的会议[答案格式:2000-01-01 00:00-00:00]
[★★☆☆☆]
29.会议管理系统的后台登陆地址是[答案格式:www.baidu.com:8080/login.php][★★☆☆☆]
数据分析
1.分析技术人员电脑内银行卡交易流水给出转入的对手交易卡号有多少[答案格式:10][★★☆☆☆]
2.分析技术人员电脑内银行卡交易流水给出转出的对手交易卡号有多少个[答案格式:1][★★☆☆☆]
3.分析技术人员电脑内银行卡交易流水给出卡号6233542760791453金额转出比(保留两位有效小数)[答案格式:10.21%][提示注意文件编码][★★★★★]
4.分析技术人员电脑内银行卡交易流水给出金额转出比最大的卡号[答案格式:xxxx][提示注意文件编码][★★★★★]
5.分析技术人员电脑内银行卡交易流水给出收益最大的卡号[答案格式:xxxxx][提示注意文件编码]
[★★★★★]
