2023FIC竞赛

容器密码

2023FIC@HeFei~wecomeback

参考

https://blog.csdn.net/iwlmo/article/details/137290498

https://blog.csdn.net/ren_fkai/article/details/136386071

题目

1.请分析苹果手机导出日志,airdrop所使用的扫描模式(Scanning mode)为?

image-20240426193504659

Scanning mode Contacts Only

2.AirDrop服务计划监听端口号是多少?

image-20240426204627316

8770

3.AirDrop中接收到图片的识别码(identifier)是多少?(标准格式:12345678-1234-5678-1234-567812345678)

image-20240426204823254
这条日志的含义是在默认时区(+0800)的 2023 年 8 月 9 日,上午 11 点 53 分 39.862868 秒,应用程序 "sharingd" 正在打开一个或多个 URL。在这个特定的情况下,正在打开的 URL 是 "photos://asset?albumname=camera-roll&identifier=DC305C27-CB72-4786-8E0A-5346CD7B0D6A/L0/001"。

根据 URL 的内容可以推断,这个 URL 可能是用于访问或处理相册中的某个资源(可能是图片或视频),其中包含了相册名称、资源标识符等信息。

DC305C27-CB72-4786-8E0A-5346CD7B0D6A

4.AirDrop日志中可以看到几条接收记录?

只有一个Opening URLs

1

5.AirDrop日志中可以分析出图片发送人是谁?(标准格式:中文名)

image-20240426203521273

image-20240426203830027

卢冠华

6.AirDrop日志中可以分析出发送图片的设备名称是什么?(标准格式:Ipad 11)

MatePad Pro 12.9

7.AirDrop日志中可以分析出发送人AppleID邮箱是什么?(标准格式:12345@qq.com)

4979ecbb-5312-4801-851d-a959ec847463@inbox.appleid.apple.com

8.AirDrop日志中可以分析出发送的图片文件名是什么?(标准格式:1.txt)

IMG_3204.pvt

9.AirDrop日志中可以分析投送嫌疑人的手机号的SHA256后五位是?

image-20240426205608211

2d99d

10.请结合工具分析日志,找出Airdrop投送方的手机号码?(答案格式:18877776666)

image-20240426205704263

18697928485

11.请计算计算机检材2023FIC-PC.E01的原始磁盘的SHA256值(不区分大小写)

image-20240422193044286

FDD3ED3893E31D6E9A363A83969AA701D06E0E3E3628B7DC97A8A23C13FF027D

12.检材2023FIC-PC.E01的计算机开机密码为

image-20240422193057212

1qaz@WSX3edczhaohong

13.请根据笔录交代,分析计算机检材,找出airdrop投递的图片内容中,违法网站的域名为?(答案格式:www.baidu.com)

EFS加密

证书(CER后缀的文件)和私钥(PFX后缀的文件)

14.请计算嫌疑人计算机中名为“测试模拟器.ldbk”的文件的SHA256值

certutil -hashfile C:\Users\L\Desktop\测试模拟器.ldbk sha256

image-20240422200732556

053950850ec6200c1a06a84b6374bd62242064780f7f680ca23932ee53dc0110

15.请根据笔录交代,分析计算机检材,钱包对应的密钥计算过程中,调用了以下哪种算法?(多选)

A、AES B、DES C、BASE58 D、BASE64 E、HKDF

image-20240422201104484

image-20240422201054325

CE

16."请分析2023FIC-PC.E01检材,并回答,发现嫌疑人计算机中使用了哪种远程工具?(单选)

A、ToDesk B、Xshell C、向日葵 D、网探 E、RayLink"

image-20240422193431167

C

17.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端的公网IP为

image-20240422200024008

116.192.174.254

18.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端的内网IP为

172.19.0.128

19.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端通过连接远程工具的中转服务器实现的P2P连接,该中转服务器的IP为

image-20240422204735296

搜索P2P

image-20240422204721928

服务器端:

image-20240422205358096

image-20240422205433624

58.215.100.83

20.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,于什么时间释放远控行为?(答案各位为:23:59:59)

18:39:17

21.请计算APK勒索样本程序的SHA256值?(不区分大小写)

22.APK程序在勒索的时候会向服务器申请钱包地址,请问申请后台IP地址为?

image-20240422203240121

116.192.174.254

23.APK从服务器端申请的包含钱包地址的配置文件的文件名为?

image-20240422204109123

hlock_bitcoin_address

24.APK程序在嫌疑人测试环境中,申请到的钱包地址为?

解压测试模拟器.ldbk

image-20240423090443204

替换

image-20240423090520267

image-20240423090430955

G7BWj89myshDFUHLdT23KFijyRqw5D9kdw

25.嫌疑人模拟器中,有测试文件被加密,该文件被加密后文件名为?

storage/emulated/0/其实是你的SD卡路径

image-20240423091402419

image-20240423090909625

iamanswer.txt.hlock

26.APK程序勒索过程中,对于勒索文件使用的加密算法为?

A、AES B、DES C、BASE58 D、BASE64 E、HKDF

image-20240423093445969

A

27.请综合分析检材,嫌疑人模拟器环境中,申请的钱包地址对应的加密密钥为?

查看导出的加密源代码,发现密钥数据库名称为key.pool

key.pool

image-20240423092507601

KkVuCbGMYTnuSAzHEQhFeR

28.嫌疑人模拟器中,有测试文件被加密,被加密文件的文件内容为?

image-20240423093735662image-20240423093804375

输入解密

67897GHU628HLGF167

29.请综合分析检材,嫌疑人的密钥库文件的sha256值为?(不区分大小写)

certutil -hashfile C:\\Users\\renfe\\Desktop\\fupan\\www\\wwwroot\\http\\key.pool sha256

ADD782FA83C459B2937E968412C657453DCD54E3FE2776AAA9C51E6C152CFB26

30.如果嫌疑人使用的勒索钱包为74Vmx83bYvuhffEHnxVNnbbq9d1AAfJhXZ,那么该钱包对应的AES加密KEY为?

找不到

image-20240422201629210

31.请分析服务器中嫌疑人用于赚钱的sql程序,数据库中的用户记录总共有多少条?

image-20240423102544191

68307

32."请分析服务器中嫌疑人用于赚钱的sql程序,用户最早的注册日期是什么?(标准格式:2020-01-01 12:00:00)

A、2019-12-30 19:21:19
B、2019-12-30 19:22:19
C、2019-12-30 19:23:19
D、2019-12-30 19:24:19
E、2019-12-30 19:25:19"

image-20240423103132946

image-20240423103115182

B

33.请分析服务器中嫌疑人用于赚钱的sql程序,用户数据中的最深层级的用户名为?[组织架构中最大层数](标准格式:中文名)

WITH RECURSIVE UserHierarchy AS (
  SELECT 
    id, 
    UserName, 
    0 AS Level 
  FROM 
    wy_user 
  WHERE 
    id NOT IN (SELECT DISTINCT pid FROM wy_user WHERE pid IS NOT NULL) 

  UNION ALL

  SELECT 
    u.id, 
    u.UserName, 
    uh.Level + 1 AS Level 
  FROM 
    wy_user u
  INNER JOIN 
    UserHierarchy uh ON u.pid = uh.id
)
SELECT 
  UserName 
FROM 
  UserHierarchy 
WHERE 
  Level = (SELECT MAX(Level) FROM UserHierarchy);

34.请分析服务器中嫌疑人用于赚钱的sql程序,直接奖励的总金额是多少?(标准格式:100.00)

SELECT SUM(direct_price) AS total_direct_price
FROM wy_user;

1142590.00

35.请分析服务器中嫌疑人用于赚钱的sql程序,间接奖励的总金额是多少?(标准格式:100.00)

SELECT SUM(indirect_price) AS total_indirect_price
FROM wy_user;

2293600.00

36.请分析服务器中嫌疑人用于赚钱的sql程序,贡献奖的总金额是多少?(标准格式:100.00)

SELECT SUM(gongxian_price) AS total_gongxian_price
FROM wy_user;

2431042.00

37.请分析服务器中嫌疑人用于赚钱的sql程序,全球分红奖励的总金额是多少?(标准格式:100.00)

SELECT SUM(global_money) AS total_global_money
FROM wy_user;

2036114.90

38.请分析服务器中嫌疑人用于赚钱的sql程序,个人投资的总金额是多少?(标准格式:100.00)

SELECT SUM(touzi_total) AS total_touzi_total
FROM wy_user;

25043200

39.请分析服务器中嫌疑人用于赚钱的sql程序,没有上线也没有下线的用户数量是多少?

SELECT * FROM wy_user u
WHERE u.pid IS NULL
AND NOT EXISTS (
SELECT 1 FROM wy_user sub WHERE sub.pid = u.UserName
);

SELECT * FROM wy_user2 u WHERE u.pid IS NULL:这部分查询选择了所有pid为NULL的记录,即那些没有上线的用户。

AND NOT EXISTS (SELECT 1 FROM wy_user2 sub WHERE sub.pid = u.UserName):这个子查询用于检查是否存在任何pid等于当前用户UserName的记录。如果这样的记录存在,意味着当前用户是某个用户的上线(即该用户有下线)。NOT EXISTS确保我们排除掉那些有下线的用户,只留下那些既没有上线也没有下线的用户。

image-20240423112042028

272

40.请分析服务器中嫌疑人用于赚钱的sql程序,没有上线但有下线的用户数量有多少?

SELECT COUNT(*)
FROM wy_user u
WHERE u.pid IS NULL
AND EXISTS ( SELECT 1 FROM wy_user sub WHERE sub.pid = u.UserName );

image-20240423112134389

8

*PE文件格式

在 Windows PE (Portable Executable) 文件中,.text.data.rdata.idata 是四个常见的段(sections),它们分别具有不同的作用:

  1. .text
    • 这是代码段,存储可执行程序的机器指令(即可执行代码)。当程序运行时,操作系统会将这个段中的指令加载到内存中,并执行它们。
  2. .data
    • 这是数据段,存储程序的全局和静态变量。这些变量在程序运行时会被初始化,并且在整个程序的生命周期内保持不变。
  3. .rdata
    • 这是只读数据段,存储程序中的只读常量数据。这些数据通常在程序编译期间就被确定,并且在程序运行时不会被修改。
  4. .idata
    • 这是导入数据段,存储程序需要在运行时从外部导入的函数和变量的信息。比如,动态链接库(DLL)中的函数,以及相关的地址信息等。.idata 包含了导入表(Import Table),用于记录程序所依赖的外部函数和DLL,并在程序加载时进行动态链接。

这些段在 Windows PE 文件中都有特定的标志和属性,用于指示它们的用途和访问权限。这些段在程序加载到内存中时会被加载到相应的内存段中,以便程序正确执行。

41.请分析服务器中嫌疑人用于赚钱的exe程序,并计算其md5值?(不区分大小写)

42.请分析服务器中嫌疑人用于赚钱的exe程序,编译此程序的计算机用户名是什么?

image-20240423140322290

MBRE

43.请分析服务器中嫌疑人用于赚钱的exe程序,本程序一共创建了几个窗口?

image-20240423141134674

image-20240423141217168

image-20240423141052005

44.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容是什么?

img

img

image-20240423141823721

在虚拟机中运行俄罗斯方块,当分数达到50分时,自动弹出窗口1

image-20240423143357463

45.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容使用了什么字体?

窗口处理函数WndProc

img

img

img

image-20240423141938946

Microsoft YaHei Light

46.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中显示的字符串第一笔的长度为多少像素(答案格式只需填写数字)

image-20240423142947393

  1. MoveToEx(hdc, 50, 270, 0);
    • MoveToEx 函数将绘图点移动到指定的位置 (50, 270),这个点将成为直线的起始点。
  2. LineTo(hdc, 50, 330);
    • LineTo 函数从当前绘图点 (50, 270) 开始绘制一条直线到点 (50, 330)。

330-270=60

60

47.请分析服务器中嫌疑人用于赚钱的exe程序,窗口2中解密字符串所使用的密钥为?

img

img

img

img

48."请分析服务器中嫌疑人用于赚钱的exe程序,窗口2中使用了解密算法为?

A. RC4 B.AES C.DES D.SHA256 E.ECC

image-20240423143905421

image-20240423143825010

A

49.请分析服务器中嫌疑人用于赚钱的exe程序,在俄罗斯方块游戏中,在键盘上依次按下哪些键可以进入窗口2?

  1. Xrefs graph to
    • 这个图显示了指定代码段或数据结构被其他代码段或数据引用的情况。它展示了一段代码的输入,即其他部分如何使用它。
  2. Xrefs graph from
    • 这个图显示了指定代码段或数据结构引用其他代码段或数据的情况。它展示了一段代码的输出,即它如何影响其他部分。
image-20240423145012076 image-20240423145206248

sub_402270:

image-20240423145247551

往上追踪到sub_401290

img

也转化

image-20240423145744976 image-20240423145953658 image-20240423145822116 image-20240423150025001 image-20240423150058359 image-20240423150136139

按照对应规则对qqfpttqtffppqq字符串进行转换

结果就是SSADWWSWAADDSS

SSADWWSWAADDSS

50.请分析服务器中嫌疑人用于赚钱的exe程序,窗口2植入的广告中,赌博网站的域名为?

image-20240423150237087

http://www.abcd.com

posted @ 2026-06-14 00:41  Cava1i  阅读(11)  评论(0)    收藏  举报