2024第一届数证杯初赛计算机部分

                <h2>这次比赛主要的部分是在计算机和流量上（流量题没有很复杂的部分），所以就复盘了计算机部分，其他部分后续就只是自己复盘不写wp了（orz</h2> 

计算机取证

1.[填空题]对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为？（答案格式：大写字母与数字组合，如：D23DDF44） (2分)

BDBE1073

 用火眼计算哈希，ESP分区一般位于磁盘的前面，所以选择NO NAME这个分区的sm3值

2. [填空题]对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为？（时区为UTC+08:00）（答案格式如：1970-01-01 00:00:00） (2分)

2024-10-25 22:57:34

查看最后一次登录的时间

3. [填空题]对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为？（填写数字，答案格式如：1234） (2分)

24次

 火眼用户信息里可以直接看

4. [填空题]对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天？（填写数字，答案格式如：1234） (2分)

42天

 比赛现场查询到查看的方法，默认的就是42天

 https://jingyan.baidu.com/article/a3f121e4be5b7fbd9152bb05.html

 

5. [填空题]对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为？（答案格式：1.23） (2分)

5.86

这里是在软件文件中看见的eraser，查询之后发现就是一个擦除软件，查看readme文件就能看到当前版本

6. [填空题]对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device”的USB设备，其接入时分配的盘符为？（答案格式：A:） (2分)

E:

火眼查看一下

7. [填空题]对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为？（答案格式：127.0.0.1） (2分)

 192.168.43.1

查看WLAN网络的详细信息：

8. [填空题]对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为？（答案格式：127.0.0.1） (2分)

192.168.188.1

通过强搜索找到文件名，前面的ip就是答案

9. [填空题]对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位？（大写字母与数字组合，如：D23DDF44） (2分)

10887AE1

手机消息记录中出现过，电脑中存放在话术zip中，导出计算得到sm3值

10. [填空题]对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为？（填写数字，答案格式如：1234） (2分)

12849

首先查看一下有ssh连接功能的软件，在xshell中找到CCTalk，

11. [填空题]对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的？（填写汉字，答案格式：阿里云） (2分)

亚马逊云科技

打开xshell对话框的时候，毁弹出无法连接18.55.213.79，所以这个IP就是对方的服务器地址（注意这里不要虚拟化和vmtool，不然不会显示公共IP）

用fox的IP查询找属地时亚马逊的

12. [填空题]对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为？（填写数字，答案格式如：1234） (2分)

6409

首先找到U盾.jpeg，发现没有东西，拿出来随波逐流扫一下发现跟着一个压缩包

解压的到U.png

13. [填空题]对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为？（答案格式：2024） (2分)

2019

找到文件直接打开，发现有一个单号，其中的2019就是发表年份

14. [填空题]对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为？（答案格式：127.0.0.1） (2分)

39.108.126.128

15. [填空题]对计算机镜像进行分析，“环球商贸”服务器配置的登录密码为？（答案按照实际填写，字母存在大小写） (2分)

HQSM#20231108@gwWeB

找到finalshell的json文件，用一个工具解密，注意要把工具拖到仿真虚拟机中，因为代码要读取本地环境中的密钥

GitHub - antonTwelve/finalshellPasswordDecrypter: 屎山代码，能用就行

 

16. [填空题]对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是？（答案按照实际填写，字母全小写） (2分)

同上得到

jlb654321

17.[填空题]对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为？（答案格式：/abc123） (2分)

/c38b336a

在浏览器历史记录中就有宝塔的访问路径

18. [填空题]对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为？（答案格式：abcd） (2分)

igmxcdsa

计算机中还有一个嵌套镜像，直接添加为新检材

 就可以找到宝塔的信息了

19. [填空题]对计算机镜像进行分析，其搭建的宝塔面板的登录密码为？（按实际值填写） (2分)

这里的密码都加密过，只获得一个盐值加密的密码，不确定答案

20. [填空题]对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是？（按实际值填写） (4分)

17859628390

在宝塔的panel配置文件中找到有账号信息

21. [填空题]对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为？（按实际值填写） (4分)

123456

这里直接找计算机中的连接历史：

22. [填空题]对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为？（填写数字，答案格式如：1234） (2分)

3306

 同上

23. [填空题]接上题，“卡号分组”表所在的数据库名为？（答案按照实际填写，字母全小写） (4分)

a_train2023

在MySQL中找到卡号分组

24. [填空题]接上题，“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为？（答案格式：1234.56） (4分)

在检材中有一个备份数据库，仿真服务器打开宝塔找到备份，直接用数据库取证打开：

6610.94

25.[填空题对U盘镜像进行分析，其镜像中共有几个分区？（填写数字，答案格式如：1234)(2分)

2

 参考2024平航杯，先挂载u盘，再对虚拟的磁盘取证，得到两个盘符，但取证的内容有错误，无法得到内部的文件，所以u盘部分先暂时空着

26.[填空题]对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个？（请使用十进制数方式填写答案，答案格式：1234）(2分)

27.[填空题]对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为？（请使用十进制数方式填写答案，答案格式：1234）(2分)

28.[填空题对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为？（请使用十进制数方式填写答案，答案格式：1234)(2分)

29.[填空题]对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为？（请使用十进制数方式填写答案，答案格式：1234)(2分)

30.[填空题]对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为？（请使用十进制数方式填写答案，答案格式：1234）(2分)

31.[填空题对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区？（请使用十进制数方式填写答案，答案格式：(1234)(4分)

32.[填空题]对盘镜像进行分析，请从该镜像的两个分区中找出使用"新建文本文档txt”记录的同一个MD5值的两部分信息，并写出该MD5值的第13-20位字符串。（答案格式：大写字母与数字组合,如(D23DDF44)(4分)