2023FIC竞赛
容器密码
2023FIC@HeFei~wecomeback
参考
https://blog.csdn.net/iwlmo/article/details/137290498
https://blog.csdn.net/ren_fkai/article/details/136386071
题目
1.请分析苹果手机导出日志,airdrop所使用的扫描模式(Scanning mode)为?
Scanning mode Contacts Only
2.AirDrop服务计划监听端口号是多少?

8770
3.AirDrop中接收到图片的识别码(identifier)是多少?(标准格式:12345678-1234-5678-1234-567812345678)

这条日志的含义是在默认时区(+0800)的 2023 年 8 月 9 日,上午 11 点 53 分 39.862868 秒,应用程序 "sharingd" 正在打开一个或多个 URL。在这个特定的情况下,正在打开的 URL 是 "photos://asset?albumname=camera-roll&identifier=DC305C27-CB72-4786-8E0A-5346CD7B0D6A/L0/001"。
根据 URL 的内容可以推断,这个 URL 可能是用于访问或处理相册中的某个资源(可能是图片或视频),其中包含了相册名称、资源标识符等信息。
DC305C27-CB72-4786-8E0A-5346CD7B0D6A
4.AirDrop日志中可以看到几条接收记录?
只有一个Opening URLs
1
5.AirDrop日志中可以分析出图片发送人是谁?(标准格式:中文名)


卢冠华
6.AirDrop日志中可以分析出发送图片的设备名称是什么?(标准格式:Ipad 11)
MatePad Pro 12.9
7.AirDrop日志中可以分析出发送人AppleID邮箱是什么?(标准格式:12345@qq.com)
4979ecbb-5312-4801-851d-a959ec847463@inbox.appleid.apple.com
8.AirDrop日志中可以分析出发送的图片文件名是什么?(标准格式:1.txt)
IMG_3204.pvt
9.AirDrop日志中可以分析投送嫌疑人的手机号的SHA256后五位是?

2d99d
10.请结合工具分析日志,找出Airdrop投送方的手机号码?(答案格式:18877776666)

18697928485
11.请计算计算机检材2023FIC-PC.E01的原始磁盘的SHA256值(不区分大小写)
FDD3ED3893E31D6E9A363A83969AA701D06E0E3E3628B7DC97A8A23C13FF027D
12.检材2023FIC-PC.E01的计算机开机密码为

1qaz@WSX3edczhaohong
13.请根据笔录交代,分析计算机检材,找出airdrop投递的图片内容中,违法网站的域名为?(答案格式:www.baidu.com)
EFS加密
证书(CER后缀的文件)和私钥(PFX后缀的文件)
14.请计算嫌疑人计算机中名为“测试模拟器.ldbk”的文件的SHA256值
certutil -hashfile C:\Users\L\Desktop\测试模拟器.ldbk sha256

053950850ec6200c1a06a84b6374bd62242064780f7f680ca23932ee53dc0110
15.请根据笔录交代,分析计算机检材,钱包对应的密钥计算过程中,调用了以下哪种算法?(多选)
A、AES B、DES C、BASE58 D、BASE64 E、HKDF


CE
16."请分析2023FIC-PC.E01检材,并回答,发现嫌疑人计算机中使用了哪种远程工具?(单选)
A、ToDesk B、Xshell C、向日葵 D、网探 E、RayLink"
C
17.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端的公网IP为

116.192.174.254
18.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端的内网IP为
172.19.0.128
19.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,被控端通过连接远程工具的中转服务器实现的P2P连接,该中转服务器的IP为

搜索P2P

服务器端:


58.215.100.83
20.请综合分析检材,嫌疑人于2023年8月22日进行远程控制时,于什么时间释放远控行为?(答案各位为:23:59:59)
18:39:17
21.请计算APK勒索样本程序的SHA256值?(不区分大小写)
22.APK程序在勒索的时候会向服务器申请钱包地址,请问申请后台IP地址为?

116.192.174.254
23.APK从服务器端申请的包含钱包地址的配置文件的文件名为?

hlock_bitcoin_address
24.APK程序在嫌疑人测试环境中,申请到的钱包地址为?
解压测试模拟器.ldbk

替换


G7BWj89myshDFUHLdT23KFijyRqw5D9kdw
25.嫌疑人模拟器中,有测试文件被加密,该文件被加密后文件名为?
storage/emulated/0/其实是你的SD卡路径


iamanswer.txt.hlock
26.APK程序勒索过程中,对于勒索文件使用的加密算法为?
A、AES B、DES C、BASE58 D、BASE64 E、HKDF

A
27.请综合分析检材,嫌疑人模拟器环境中,申请的钱包地址对应的加密密钥为?
查看导出的加密源代码,发现密钥数据库名称为key.pool
key.pool

KkVuCbGMYTnuSAzHEQhFeR
28.嫌疑人模拟器中,有测试文件被加密,被加密文件的文件内容为?


输入解密
67897GHU628HLGF167
29.请综合分析检材,嫌疑人的密钥库文件的sha256值为?(不区分大小写)
certutil -hashfile C:\\Users\\renfe\\Desktop\\fupan\\www\\wwwroot\\http\\key.pool sha256
ADD782FA83C459B2937E968412C657453DCD54E3FE2776AAA9C51E6C152CFB26
30.如果嫌疑人使用的勒索钱包为74Vmx83bYvuhffEHnxVNnbbq9d1AAfJhXZ,那么该钱包对应的AES加密KEY为?
找不到

31.请分析服务器中嫌疑人用于赚钱的sql程序,数据库中的用户记录总共有多少条?

68307
32."请分析服务器中嫌疑人用于赚钱的sql程序,用户最早的注册日期是什么?(标准格式:2020-01-01 12:00:00)
A、2019-12-30 19:21:19
B、2019-12-30 19:22:19
C、2019-12-30 19:23:19
D、2019-12-30 19:24:19
E、2019-12-30 19:25:19"

B
33.请分析服务器中嫌疑人用于赚钱的sql程序,用户数据中的最深层级的用户名为?[组织架构中最大层数](标准格式:中文名)
WITH RECURSIVE UserHierarchy AS (
SELECT
id,
UserName,
0 AS Level
FROM
wy_user
WHERE
id NOT IN (SELECT DISTINCT pid FROM wy_user WHERE pid IS NOT NULL)
UNION ALL
SELECT
u.id,
u.UserName,
uh.Level + 1 AS Level
FROM
wy_user u
INNER JOIN
UserHierarchy uh ON u.pid = uh.id
)
SELECT
UserName
FROM
UserHierarchy
WHERE
Level = (SELECT MAX(Level) FROM UserHierarchy);
34.请分析服务器中嫌疑人用于赚钱的sql程序,直接奖励的总金额是多少?(标准格式:100.00)
SELECT SUM(direct_price) AS total_direct_price
FROM wy_user;
1142590.00
35.请分析服务器中嫌疑人用于赚钱的sql程序,间接奖励的总金额是多少?(标准格式:100.00)
SELECT SUM(indirect_price) AS total_indirect_price
FROM wy_user;
2293600.00
36.请分析服务器中嫌疑人用于赚钱的sql程序,贡献奖的总金额是多少?(标准格式:100.00)
SELECT SUM(gongxian_price) AS total_gongxian_price
FROM wy_user;
2431042.00
37.请分析服务器中嫌疑人用于赚钱的sql程序,全球分红奖励的总金额是多少?(标准格式:100.00)
SELECT SUM(global_money) AS total_global_money
FROM wy_user;
2036114.90
38.请分析服务器中嫌疑人用于赚钱的sql程序,个人投资的总金额是多少?(标准格式:100.00)
SELECT SUM(touzi_total) AS total_touzi_total
FROM wy_user;
25043200
39.请分析服务器中嫌疑人用于赚钱的sql程序,没有上线也没有下线的用户数量是多少?
SELECT * FROM wy_user u
WHERE u.pid IS NULL
AND NOT EXISTS (
SELECT 1 FROM wy_user sub WHERE sub.pid = u.UserName
);
SELECT * FROM wy_user2 u WHERE u.pid IS NULL:这部分查询选择了所有pid为NULL的记录,即那些没有上线的用户。
AND NOT EXISTS (SELECT 1 FROM wy_user2 sub WHERE sub.pid = u.UserName):这个子查询用于检查是否存在任何pid等于当前用户UserName的记录。如果这样的记录存在,意味着当前用户是某个用户的上线(即该用户有下线)。NOT EXISTS确保我们排除掉那些有下线的用户,只留下那些既没有上线也没有下线的用户。

272
40.请分析服务器中嫌疑人用于赚钱的sql程序,没有上线但有下线的用户数量有多少?
SELECT COUNT(*)
FROM wy_user u
WHERE u.pid IS NULL
AND EXISTS ( SELECT 1 FROM wy_user sub WHERE sub.pid = u.UserName );

8
*PE文件格式
在 Windows PE (Portable Executable) 文件中,.text、.data、.rdata 和 .idata 是四个常见的段(sections),它们分别具有不同的作用:
.text:- 这是代码段,存储可执行程序的机器指令(即可执行代码)。当程序运行时,操作系统会将这个段中的指令加载到内存中,并执行它们。
.data:- 这是数据段,存储程序的全局和静态变量。这些变量在程序运行时会被初始化,并且在整个程序的生命周期内保持不变。
.rdata:- 这是只读数据段,存储程序中的只读常量数据。这些数据通常在程序编译期间就被确定,并且在程序运行时不会被修改。
.idata:- 这是导入数据段,存储程序需要在运行时从外部导入的函数和变量的信息。比如,动态链接库(DLL)中的函数,以及相关的地址信息等。
.idata包含了导入表(Import Table),用于记录程序所依赖的外部函数和DLL,并在程序加载时进行动态链接。
- 这是导入数据段,存储程序需要在运行时从外部导入的函数和变量的信息。比如,动态链接库(DLL)中的函数,以及相关的地址信息等。
这些段在 Windows PE 文件中都有特定的标志和属性,用于指示它们的用途和访问权限。这些段在程序加载到内存中时会被加载到相应的内存段中,以便程序正确执行。
41.请分析服务器中嫌疑人用于赚钱的exe程序,并计算其md5值?(不区分大小写)
42.请分析服务器中嫌疑人用于赚钱的exe程序,编译此程序的计算机用户名是什么?

MBRE
43.请分析服务器中嫌疑人用于赚钱的exe程序,本程序一共创建了几个窗口?



44.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容是什么?


在虚拟机中运行俄罗斯方块,当分数达到50分时,自动弹出窗口1
45.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中所显示的内容使用了什么字体?
窗口处理函数WndProc




Microsoft YaHei Light
46.请分析服务器中嫌疑人用于赚钱的exe程序,窗口1中显示的字符串第一笔的长度为多少像素(答案格式只需填写数字)

MoveToEx(hdc, 50, 270, 0);:MoveToEx函数将绘图点移动到指定的位置 (50, 270),这个点将成为直线的起始点。
LineTo(hdc, 50, 330);:LineTo函数从当前绘图点 (50, 270) 开始绘制一条直线到点 (50, 330)。
330-270=60
60
47.请分析服务器中嫌疑人用于赚钱的exe程序,窗口2中解密字符串所使用的密钥为?




48."请分析服务器中嫌疑人用于赚钱的exe程序,窗口2中使用了解密算法为?
A. RC4 B.AES C.DES D.SHA256 E.ECC


A
49.请分析服务器中嫌疑人用于赚钱的exe程序,在俄罗斯方块游戏中,在键盘上依次按下哪些键可以进入窗口2?
- Xrefs graph to:
- 这个图显示了指定代码段或数据结构被其他代码段或数据引用的情况。它展示了一段代码的输入,即其他部分如何使用它。
- Xrefs graph from:
- 这个图显示了指定代码段或数据结构引用其他代码段或数据的情况。它展示了一段代码的输出,即它如何影响其他部分。
sub_402270:

往上追踪到sub_401290

也转化
按照对应规则对qqfpttqtffppqq字符串进行转换
结果就是SSADWWSWAADDSS
SSADWWSWAADDSS
50.请分析服务器中嫌疑人用于赚钱的exe程序,窗口2植入的广告中,赌博网站的域名为?

浙公网安备 33010602011771号