随笔分类 - 电子取证
摘要:1. *分析手机镜像,请问机身的Wi-Fi信号源的物理地址是什么?[标准格式:01:02:03:04:05:06] 没找到其它softap配置,但这个里面存的似乎是密码 高版本会保存在/data/misc/apexdata/com.android.wifi/WifiConfigStoreSoftAp
阅读全文
摘要:服务器取证 请根据服务器检材,回答以下问题: 先把镜像挨个仿真 因为是集群,虚拟机的网段改成50,看情况要不要改ip,仿真起来如果ip变了就改回去,没变是最好的 1. node1节点的磁盘设备SHA256值前六位是?(字母全大写,答案格式:AAAAAA) node1对应的是第二个镜像 结果为FC9A
阅读全文
摘要:在https://exam.didctf.com/practice/questions可以找到题目 出这套题主要是想鼓励大家在遇到陌生的文件时,可以主动地去对这类文件进行分析(尤其是将多个文件打包在一起),希望能通过专项练习得到这方面的提升。 源码 这边先给出源码,先是main.go package
阅读全文
摘要:前言 最近心血来潮想研究一下如何解析E01文件,需要用到libewf这个库,了解过后发现这个库中提供了一个工具ewfmount,可以将E01镜像文件挂载成一个raw格式的镜像文件。与此同时,vmware恰好支持在vmdk中使用这个类型的镜像文件,因此通过此方法进行仿真是可行的 分析 挂载命令ewfm
阅读全文
摘要:拒绝无脑嵌套虚拟化出题,从我做起 手机取证 好像是第一次在比赛中出现鸿蒙检材 其中的tar文件是加密的,tarx是解密后的文件,可以当作tar包解压 1.分析鸿蒙手机检材,打网球定的日期是?【标准格式:4月5日】 结果为3月3日 2.分析鸿蒙手机检材,哪个浏览器搜索过鸿蒙开发教程?【标准格式:百度浏
阅读全文
摘要:手机取证 1.请分析检材1,该检材的蓝牙mac地址为 结果为a4:55:90:15:2e:76 2.请分析检材1,该检材的系统Linux内核版本号为 结果为4.14.186 3.请分析检材1,该检材中实际使用的密码管理软件的软件包包名为 keepass数据库里没有数据,还有其他包,不过都不是 结果为
阅读全文
摘要:vr案情中获得的关键信息 手机取证 1.分析安卓手机检材,手机的IMSI是? [答案格式:660336842291717] 结果为460036641292715 2.养鱼诈骗投资1000,五天后收益是? [答案格式:123] qq里,解密一下数据库,首先需要从mmkv里获取用户的uid 然后解密数据
阅读全文
摘要:检材一 正常情况下,在网络固证时所有需要的内容都会单独保存/爬取到文件中,题出得挺新颖,烂也是真的烂 1.请分析检材一,该取证录像文件的 SHA256 值为 结果为2753DA22FE23CADAADC14FE4C1D5096A153360D9F91097EA376846431F5C1567 2.请
阅读全文
摘要:计算机 1.分析起早王的计算机检材,起早王的计算机插入过usb序列号是什么(格式:1) 结果为20211113005552F 2.分析起早王的计算机检材,起早王的便签里有几条待干(格式:1) 查看便笺数据库 结果为5 3.分析起早王的计算机检材,起早王的计算机默认浏览器是什么(格式:Google)
阅读全文
摘要:首先拿到的apk没有签名,并且一些activity没有导出 用mt管理器处理一下,最重要的是签名,签完名可以上传到https://56.al/进行脱壳,这边给出文件id24eee657d458a393a094585b57968e7e 安装完之后,app会申请通讯录、录音、拍照、存储等权限,如果没有申
阅读全文
摘要:手机 后缀dd实则tar 非预期 应该是出题的时候为了方便确定答案,做了截图,但是截图被小米相册缓存了,虽然不是原图,但也足够清晰,删除截图的时候这部分缓存并不会被删除,可以解绝大部分题 /media/0/Android/data/com.miui.gallery/files/gallery_dis
阅读全文
摘要:日志流量 1.新手运维小王的Geoserver遭到了攻击:黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。 目标是找到webshell 首先能看到目录扫描 最后能看到上传了一个b.jsp jsp是加密的,但是能看到一个class 这个class没有
阅读全文
摘要:1. 分析手机备份文件,该机主的QQ号为?(标准格式:123) 看了下,备份里没有QQ,但是有微信,所以应该是微信绑定的QQ号(早期微信推广时可以用QQ直接注册登录) 经过测试,对应的是这个 结果为1203494553 2. 分析手机备份文件,该机主的微信号为?(标准格式:abcdefg) 结果为l
阅读全文
摘要:Windows远程固定 直接镜像或拷贝 使用RDP远程连接到目标机器,连接时挂载一个配有取证工具的本地磁盘,这样可以在服务器上运行取证程序,最小程度避免对数据的干扰 连接成功后,就可以在目标服务器上成功看到分区 接下来按照PE做镜像的标准,直接将内容磁盘镜像下来,FTK可以选择我们挂载的网络驱动器,
阅读全文
摘要:请根据计算机以及内存检材,回答以下问题: (17道题,共54.0分) 1. 计算机中曾挂载的bitlocker加密的分区的驱动器号为?(答案格式:大写字母,如C) (2.0分) 先找到对应的虚拟磁盘 仿真直接挂载就能看到,还有一个挂载起来是X盘 结果为V 2. 分析计算机和内存检材,计算机中的Bit
阅读全文
摘要:请根据计算机检材,回答以下问题: (10道题,共19.0分) 1. 计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为?(答案格式:6位数字) (1.0分) 应该是这个?从注册表应该是能看到挂载痕迹 结果为700755 2. 请写出曾远程连接过该计算机的IP;(答案格式:6.6.6.6)
阅读全文
摘要:本WP由师弟@K4m1to提供 太好了,手搓党有救了 容器密码:bWuDw#3qthnMpLz8+6>c!CHFmPKgB&?J5f:A4^a);d=*ysv7Rxn>fzT^BH8;JV#qSpF5C7kb4DsA$?a+9E6KZ3\xRwW=(jceu:NvvXD7r@&9YJz/nwbh<A
阅读全文
摘要:网络流量分析 1. [填空题]分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10) (2分) 结果为3504 2. [填空题]分析网络流量包检材,抓取该流量包时使用计算机操作系统的build版本是多少?(答案格式:10D32) (2分) 结果为23F79 3. [填空题]
阅读全文
摘要:Emma 已经几天没有收到她姐姐 Clara的消息了,报警失踪, 她焦虑地将手机提交给警察,希望能找到线索。警察将手机交给你进行电子数据取证。你成功提取了Emma手机的镜像。 请根据取证结果回答以下问题。 1. [单选题] 根据Emma_Mobile.zip, Emma和Clara的微信聊天记录,E
阅读全文
摘要:用到的部分之前没介绍过的小工具可以在WXjzcccc/WXjzc-tool (github.com)中找到 案情 近期,某公安机关接到受害人报案:通过微信添加认识一位相亲中介客服,客服邀约其与“相亲”对象进行选妃,受害人上钩后,整个过程被涉案团伙录音录像,同时,该客服以有更多的对象可供挑选为由,引导
阅读全文
浙公网安备 33010602011771号