2025盘古石决赛鸿蒙部分

拒绝无脑嵌套虚拟化出题，从我做起

手机取证

好像是第一次在比赛中出现鸿蒙检材

其中的tar文件是加密的，tarx是解密后的文件，可以当作tar包解压

1.分析鸿蒙手机检材，打网球定的日期是？【标准格式：4月5日】

结果为3月3日

2.分析鸿蒙手机检材，哪个浏览器搜索过鸿蒙开发教程？【标准格式：百度浏览器】

鸿蒙的东西真的很难找，文件目录结构乱的要死

结果为UC浏览器

3.分析鸿蒙手机检材，记录服务器信息的笔记软件名称是？【标准格式：大象笔记】

先看manifest（tar包里没有这个数据库文件）

把这俩个对应的fileName带x的（解密后的）改成siyuan,db和siyuan.db-wal后打开数据库

先保存一下这些密码

VCSA: 192.168.0.100/24 root/P@99w0rd
        administrator@pgs.cup/P@99w0rd
ESXi2  192.168.0.102/24 root/P@88w0rd
ESXi3  192.168.0.103/24  root/P@88w0rd
ESXi1 192.168.0.101/24  root/P@88w0rd
DC 192.168.0.99/24   administrator/3w.panguite.com  ftpserver:ftp/ftp123!@#

结果为思源笔记

4.接上题，笔记软件记录的ip地址一共几个？【标准格式：2】

结果为5

5.接上题，DC服务器用户名administrator的密码是？【标准格式：123.abc.com】

结果为3w.panguite.com

程序分析

1.分析鸿蒙手机检材中“笔记.hap”文件，该软件应用名称是？【标准格式:ABCD】

找到文件位置

用abc-decompile项目反编译hap中的modules.abc即可反编译代码，用abcd项目反编译hap中的resources.index即可反编译资源

结果为PGSDBW

2.分析hap检材，软件的包名是？【标准格式:com.pgs.main】

结果为com.example.pgsdsj

3.分析hap检材，软件图标md5的后六是？【标准格式:a48b31】

结果为9c1f7f

4.分析hap检材，软件代码保存的文件名称是？【标准格式:class.dex】

结果为modules.abc

5.分析hap检材，软件的入口类是？【标准格式:MainActivity】

结果为 EntryAbility

6.分析hap检材，软件的入口密码是？【标准格式：abc-134】

结果为pgsdbw-2025

7.分析hap检材，软件存储笔记的数据库名称是？【标准格式：tmp.db】

结果为notepad.db

8.分析hap检材，数据库的打开密码是？【标准格式：Abc123】

结果为HuaweiNotePad123

9.分析hap检材，数据库中笔记内容采用什么加密算法？【标准格式：Sal20】

结果为ChaCha20

10.分析hap检材，数据库中笔记内容加密秘钥是？【标准格式：Abc123】

结果为NotePadContent12