随笔分类 -  电子取证

上一页 1 2 3 4
idekCTF2022-Forensics-HiddenGem Mixtape复盘
摘要:Forensics HiddenGem Mixtape 1: Initial Access 给到的是一个vhdx镜像,X-Ways可以直接解析 还有一个压缩包和note Note 1: All flags are wrapped in idek{} format, you don't need to 阅读全文
posted @ 2023-01-19 14:50 WXjzc 阅读(706) 评论(0) 推荐(0)
rwctf体验赛-Snake详解
摘要:首先展示一下apk中的内容,一个简单的贪吃蛇游戏 静态分析 蛇撞墙会有提示,直接去看 定位到com.example.ct_sanke.SnakeView.i() i()方法只有一处调用,随着蛇吃食物进行逻辑处理 考虑到游戏需要绘制,看到Snake类下还有一个onDraw()方法,查看该方法 发现一处 阅读全文
posted @ 2023-01-09 12:58 WXjzc 阅读(646) 评论(0) 推荐(0)
NepnepxCATCTF-CatPaw详解
摘要:小米备份文件,可以用7zip打开得到apk 对apk进行分析,跳转到加密代码,通过分析代码,发现只需要最后的md5值和8b9b0ad9c324204fac87ae0fc2c630bd相等即可 同时资源中又发现password必须大于5位 一开始的想法是hook上面的方法,认为通过验证后能拿到flag 阅读全文
posted @ 2023-01-02 17:09 WXjzc 阅读(2152) 评论(4) 推荐(0)
2022美亚杯-团体赛
摘要:以不同的角色为解题方向,所有结果均为拙见,打*就是没思路 AGC 2. [填空题]就AGC集团网络的流媒体服务器 (Media Server),有多少个本地用户曾经成功登录过? (以阿拉伯数字回答) (1分) 查看登陆记录 结果为3 3. [填空题]就AGC集团网络的流媒体服务器,有多少个本地用户曾 阅读全文
posted @ 2022-11-26 15:41 WXjzc 阅读(2238) 评论(0) 推荐(0)
2022美亚杯-资格赛
摘要:背景 于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用咭资料导致经济损失。 警方追查下发现当中一名受骗市民男子李大輝 (TaiFai) 的信用卡曾经被匪徒在区内的商舖购物。 后来警方根据IP地址,锁定及拘捕了一名男子林浚熙 (阿熙 ChunHei),并于他的 阅读全文
posted @ 2022-11-20 14:33 WXjzc 阅读(991) 评论(4) 推荐(0)
2022长安杯wp
摘要:身处各地,交流不畅,沟通效果不好,需要处理这个问题,尤其是检材二,没有发现其中的启动脚本,导致绕弯太多 背景 案情背景:某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用”USTD币“购买所谓的"HT币”,受害人充值后不但“HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方 阅读全文
posted @ 2022-10-30 23:31 WXjzc 阅读(1475) 评论(4) 推荐(2)
2022-CNASGA
该文被密码保护。
posted @ 2022-10-20 19:37 WXjzc 阅读(119) 评论(0) 推荐(0)
小米运动健康及数据库分析
摘要:数据库分析 对部分数据库中的数据进行分析 device_db 在device表中,会储存配对的设备的信息 如上图所示,连接的设备为Redmi 手表 2,它的设备id是513932244,mac地址44:27:F3:38:D9:D8,配对的手机的设备id是e9d158d9-e284-476e-8cf3 阅读全文
posted @ 2022-10-18 19:23 WXjzc 阅读(770) 评论(0) 推荐(0)
2022GA-CNAS
该文被密码保护。
posted @ 2022-10-18 19:22 WXjzc 阅读(428) 评论(0) 推荐(0)
2022CNAS能力验证-存在性
该文被密码保护。
posted @ 2022-09-17 15:07 WXjzc 阅读(818) 评论(1) 推荐(1)
通过NTFS日志分析文件的时间属性是否被篡改
摘要:前期准备 NTFS日志记录了什么东西? NTFS日志会记录NTFS文件系统中文件的创建、修改、增加数据、删除等操作执行的时间,虽说这个日志也可以被第三方程序修改,但仍然可以作为一个重要的参考依据。 NTFS日志文件在哪里? NTFS日志保存在每个虚拟磁盘(CDE...分区)的$Extend中,这个文 阅读全文
posted @ 2022-09-17 15:06 WXjzc 阅读(4136) 评论(3) 推荐(0)
21浙比武
该文被密码保护。
posted @ 2022-08-16 17:21 WXjzc 阅读(115) 评论(0) 推荐(0)
HA: FORENSICS靶机练习
摘要:ubuntu拿到手,没有恢复模式,不好绕密码,仿真软件又会更改所有用户的密码,怕影响后续操作,先不采用,先试试用john跑一下看看能不能跑出一两个来。 刚好跑出来一个,用户jasoos,密码Password@1,成功登录 没有sudo权限 ssh也可以连接上 查看服务发现开启了apache服务 查看 阅读全文
posted @ 2022-08-08 13:41 WXjzc 阅读(264) 评论(0) 推荐(0)
DASCTF7月misc--ez_forenisc
摘要:内存镜像解析,得到bitlocker密钥 passware解析内存镜像,得到用户名密码550f37c7748e 取证大师解bitlocker(也可以先将vmdk转换为其他passware可以识别的格式,直接通过内存镜像解出一个解密的镜像) 看到两个文件 压缩包解压出图片,查看隐写发现0通道存在异常 阅读全文
posted @ 2022-07-27 21:07 WXjzc 阅读(305) 评论(0) 推荐(0)
2022蓝帽杯初赛wp(取证)
摘要:2022蓝帽杯初赛wp(取证)战果 取证全解 misc出了1个 解其他题就像在坐牢 有那么一点思路,但不是完全有 手机取证_1 解压并打开阅读器,搜索627604C2-C586-48C1-AA16-FF33C3022159.PNG 右键导出相片,查看照片文件属性 得到结果为360x360 手机取证_2 解压并打开阅读器,搜索关键 阅读全文
posted @ 2022-07-09 22:25 WXjzc 阅读(2774) 评论(0) 推荐(0)
volatility3-windows插件
摘要:volatility3和volatility有很大的区别 查看镜像信息,volatility会进行分析python vol.py -f F:\BaiduNetdiskDownload\ZKSS-2018\Q1.Windows7_memory.dd windows.info 查看进程python vo 阅读全文
posted @ 2022-05-21 13:54 WXjzc 阅读(2888) 评论(0) 推荐(0)
21粤比武
该文被密码保护。
posted @ 2022-05-09 20:54 WXjzc 阅读(160) 评论(0) 推荐(0)
第五届蓝帽杯-溯源取证wp
摘要:现在请你根据获取到的镜像服务器内容,回答以下问题: q: 黑客通过哪个端口攻击进入的? == A q: 黑客修改后的root密码是什么? == B q: 黑客释放的工具服务端ip地址是什么? == C q: 黑客窃取的秘密文件 md5 是什么? == D flag = flag{md5(A-B-C- 阅读全文
posted @ 2022-04-22 17:46 WXjzc 阅读(410) 评论(0) 推荐(0)
通过.frm和.idb文件恢复mysql数据库
摘要:本文对该文章进行参考,地址https://baijiahao.baidu.com/s?id=1675966756498698574&wfr=spider&for=pc 现在有一个数据库需要恢复,已经获取到.frm和.ibd文件 这些文件即是我之前的文章2021长安杯wp - WXjzc - 博客园 阅读全文
posted @ 2022-04-09 15:34 WXjzc 阅读(1039) 评论(0) 推荐(0)
2021长安杯wp
摘要:案件背景 2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元;经询问,昨日金某被嫌疑人诱导果聊,下载了某果聊软件,导致自己的通讯录和果聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警;警方从金某提供的本人手机中,定向采集到了该果聊软件的安装包--zhibo 阅读全文
posted @ 2022-04-07 17:32 WXjzc 阅读(3367) 评论(0) 推荐(1)

上一页 1 2 3 4