2025数证杯初赛wp

服务器取证
1.node1 节点的磁盘设备 SHA256 值前六位是?(字母全大写,答案格式:AAAAAA)( )FC9A34
2、集群配置了多少个 node 节点?(答案格式:1)( )2
把给的镜像仿真后发现有node1和node2
3.嫌疑人于什么时间修改 master 节点的 root 密码?(使用双位数格式,答案格式:00:00:00)( )09:35:59
image
4.请分析服务器镜像文件,Docker的安装日期是?(答案格式:1月1日)4月8日
在历史命令中发现docker是通过yum安装的。所以找yum.log日志文件。
在master节点上执行 grep "Installed:" /var/log/yum.log | grep docker-ce
5.请分析服务器镜像文件,Docker通过配置守护进程以使用全局代理,该代理地址的端口是?(答案格式:22)4780
仿真master节点,输出docker.service文件的内容即可
cat /lib/systemd/system/docker.sercvice
image
6、发卡网站使用的 Mysql 数据库对外访问端口是?(答案格式:1)( )30627
kubectl get svc -A
image
*7、发卡网站部署使用的镜像名称是?(答案格式:root/root)( )
8、当前 Telegram 群管机器人使用的容器 ID 的前六位是?(答案格式:123abc)( )
image
因为每次仿真会拉取新的镜像,所以应该是静态分析
*9、发卡网站使用的缓存数据库是?(答案格式:mysql)( )redis
10、集群中配置的发卡网站代码运行所在的物理目录是?(答案格式:/root/root)( )/data/k8s_data/default/dujiaoka
11、Telegram 群管机器人配置的 API 代理域名是?(答案格式:www.xxx.com)( )http://xillka.com
12、嫌疑人在 Telegram 上创建的群名称是?(答案格式:比武群)( )西门庆交流群12-15全是sql,查表就行+AI
13、统计嫌疑人在 Telegram 上创建的群中2025年6月之后成功入群的人数为?(答案格式:1)( )1023
14、据嫌疑人交代曾在发卡网上删除过一条订单数据,请找出该删除订单的订单号是?(答案格式:请按实际值填写)( )524Z7N50ZVMC6TLP
15、发卡网站上 2025 年 6 月之后订单交易成功的总金额是?忽略被删除的数据(答案格式:1)( )212779
16、发卡网站的后台访问路径是?(答案格式:/root)( )
17、计算出用户密码算法中 Salt 的值,并进行 Base64 编码,结果是?(答案格式:请按实际值填写)( )
18、发卡网站配置的邮件发送人地址是?(答案格式:abc@abc.com)( )ituzz.com
19、当前发卡网站首页仪表盘中显示的发卡网站版本为?(答案格式:1.1.1)( )2.0.5暴力打法
*20、当前发卡网站中绑定的订单推送 Telegram 用户 id 为(答案格式:请按实际值填写)( )
流量分析
21、黑客攻击的目标路由器 SSID 为 (答案格式:请按实际值填写)( )laozhaoWIFI
22、黑客成功捕获了 WIFI 中 WPA 协议握手包,其中有效握手包组数为 (完整握手为一组)(答案格式:1)( )3
23、黑客爆破得出的 WiFi 密码为(提示:密码由小写英文字母和数字组成)(答案格式:abcd1234)( )password1110
24、黑客成功连接 Wifi 后,发现路由器操作系统为?(答案格式:请按实际值填写)( )ImmortalWrt
25、黑客对路由器后台进行爆破攻击,该路由器后台密码为(答案格式:请按实际值填写)( )12345678
26、黑客通过修改路由器设置,将被劫持的域名为(答案格式:www.xxx.com)( )www.qq.com
27、黑客在路由器管理后台发现 FTP 服务配置,FTP 登录密码为?(答案格式:请按实际值填写)( )mast
28、黑客通过 FTP 上传了一个压缩包文件,该文件内容为(答案格式:请按实际值填写)( )code:123456789
29、黑客通过路由器执行 shell 脚本,反弹 shell 的监听端口为(答案格式:1)( )4445
30、黑客通过反弹 shell 成功控制目标路由器后,总共执行了多少条命令(答案格式:1)( )4
apk取证
31、apk 的版本名称为? (答案格式:1.1.1)( )3.0.12
image
*32、在该 APP 中,调用了哪个 System 的方法用于获取本地系统的时间戳?(答案格式:MainActivity)( )currentTimeMillis
*33、apk 运行后 getVer () 的返回值是多少?(答案格式:1.0.0)( )4.56.23以上3题静态分析即可+少量代码
*34、apk 运行后需要通过一个 http get 请求才能打开第二个界面,给出该请求 URL? (答案格式:http://www.xxx.com/test?a=1)( )我整半天frida啥也没抓住
*35、apk 第二界面的 8 位授权码是什么? (答案格式:11111111)( )
计算机取证
41. 操作系统的Build版本号是?19044
image
42.操作系统设置的账户密码最长存留期为多少天?68
仿真后win+r输入gpedit.msc找到
image
43. 用户2登录密码NT哈希值后六位是a9c708
image
44.蓝牙 mac 地址是多少?(答案格式:AA-AA-AA-AA-AA-AA)( ) 9C-B6-D0-04-C9-CC
image
45.SafeImager 的产品序列号后四位是?(字母全大写,答案格式:AAAAAA)( )0009C4
image
46.123.VHD 所处的结束扇区是?(答案格式:1 )( )

47.分析计算机检材,用户在BitLocker加密分区最后修改的文件是?(答题格式:abcd.txt )资料1.txt
image
可以看到这是d盘最晚的
48.用户连接 192.168.114.129 时用的会话名称是?(答案格式:按照实际情况填写)( )连接阿里云
image
49.用户创建存储虚拟币钱包地址页面的时间是?(使用双位数格式,答案格式:01 月 01 日)( )
环境问题无法复现成功
50.用户的虚拟币钱包地址是?(答案格式:按照实际情况填写)( )
同上
*51.用户 VC 加密容器的密码是?(答案格式:按照实际情况填写)( )
52.用户在生活中使用的代号是?(答案格式:按照实际情况填写)( )小胖
在仿真后的桌面找到代号.wav文件,分析频谱得到小胖
image
53.李安东的银行卡归属哪个银行?(答案格式:农业银行)( )
找到银行卡,文件名称提示六位数纯数字密码,直接爆破
54.分析计算机检材,请分析某市10月6日最高气温是?(答题格式:25)答案:21
找到气温压缩包,发现是伪加密,将50 4B 03 04 14 00 09 00改为 50 4B 03 04 14 00 00 00; 50 4B 01 02 1F 00 14 00 09 00 变成 50 4B 01 02 1F 00 14 00 00 00 即可解开伪加密image
55.用户的 BitLocker 密码是?(答案格式:按照实际情况填写)( )SZBJSJTM2025
image
此邮件暗示隐写的意思,所以提取图片查看LSB
image
附件问题这里找了个图片,如有侵权请联系作者删除
56.分析计算机检材,用户办公室的门禁密码是?(答题格式:按照实际情况填写)147963258
*56、用户办公室的门禁密码是?(答案格式:按照实际情况填写)( )
57、用户使用的以 D 开头的解密程序的 MD5 值后六位是?(字母全大写,答案格式:AAAAAA)( )3A892E软件part1-5合并起来,解压
*58、木马程序运行至系统断点前加载了几个动态链接库?(答案格式:1)( )
需要在虚拟运行看看
59、木马产生的程序名称是什么?(答案格式:abcd.txt)( )wins.exe
60、木马尝试访问的域名是什么?(答案格式:按照实际情况填写)( )沙箱edu-image.nosdn.127.net
61、分析计算机内存检材,此内存镜像制作时的系统时间是?(使用双位数格式,答案格式:01 月 01 日)( )10月16日 lovelymem一把梭
image
62、分析计算机内存检材,用户 Yiyelin 的用户表示后 4 位是?(答案格式:1111)( )1002
image
63、分析计算机内存检材,计算机的 CPU 型号是什么?(答案格式: i9-1110U)( )i7-1165G7
image
64、分析计算机内存检材,wps.exe 的 PID 是?(答案格式:1)( )5888
image
65、分析计算机内存检材,此计算机开机自启动的远控软件名称是?(答案格式:abcd.txt)( )SunloginClient.exe
image
66、打印机的主机名称是什么?(答案格式:root)( )print
image
67、打印文件存储在哪个目录?(答案格式:/root/root)( )/var/spool/cups
/etc/cups/cups-files.conf
image
这是 Linux 系统(尤其是基于 CUPS(Common Unix Printing System)的发行版)中,打印服务配置文件的路径。
image
68、同一天,打印两份文件的用户是谁?(答案格式:root)( )alice
/var/log/cups/page_log
查看谁打印了什么文件;
分析打印时间、页数、文件名;
追踪敏感文档是否被打印;
与其他日志(如 access_log)交叉比对,还原用户行为。
image
image
alice
69、分析物联网检材,木马运行后,自身产生的进程 ID 是多少?(答案格式:1)( )2177
/var/log/syslog
内核消息(启动、硬件、驱动)
系统服务启动/停止(如 NetworkManager、cron、systemd)
用户登录/认证事件(SSH、sudo、su)
网络连接、DHCP、DNS 请求
打印任务(CUPS)
定时任务(cron)执行情况
各类守护进程(daemon)报错或状态信息,复制内容交给ai
image
70、分析物联网检材,系统中存在一个非标定时任务,这个任务每隔多少分钟执行?(答案格式:1)( )10
image
image
*71、分析物联网检材,木马程序会窃取文档暂存在隐藏目录,这个目录的绝对路径?(/root/root/)( )
/tmp/.cache/这个路径太可疑了,不过正解应该是分析上题得到的木马来看,能力有限。
*72、分析物联网检材,木马程序将数据上传到的服务器的 IP 地址是多少?(答案格式:1.1.1.1)( )

*73、根据木马程序,它监视的关键字是什么?(答案格式:按照实际情况填写)( )
75.对手机检材进行取证分析,分析检材中微信ID:wxid_f4s0jmpvrc522对应的手机号。【参考格式:13800000000】17859628390
image
76.对手机检材进行取证分析,分析检材中“华为应用市场”第一次安装日期。【参考格式:2025-08-24】2025-09-24
image
77.对手机检材进行取证分析,分析出检材中钱包APP,请列出该APP中ETH地址后八位。【字母全大写,参考格式:A12B34D5】503FE61F
image
78.对手机检材进行取证分析,分析出检材中包含“南昌西站”的图片,计算该图片的MD5后六位?【参考格式:A12B34】
图片中找到直接计算md5
79.对手机检材进行取证分析,手机相册中有张“imtoken助记词1.PNG”图片被破坏,请修复该图片,列出该图片中第三个单词。【参考格式:abcd】
隐写识别中直接找到修复后的
80.对手机检材进行取证分析,找出一张PNG图片,该图片上显示“助记词2”,请列出该图片上显示的第二个单词。【参考格式:abcd】
直接在图片搜索找到
*81.对手机检材进行取证分析,找出检材中显示“助记词3”的文档,列出该文档中记录的第三个助记词单词。【参考格式:abcd】
*82.对手机检材进行取证分析,分析出该组助记词正常顺序中最后一个单词(已知助记词1、助记词2、助记词3中的单词顺序有被调整)。【参考格式:abcd】
83.对手机检材进行取证分析,分析出邮箱中收件人QQ号为“850563586”的姓名。【参考格式:张三】刘佳雨
image
*84.对手机检材进行取证分析,得知机主通过某个应用给HHshAL发送了一个文档,该应用的数据包名是什么?【参考格式:com.test.abc】
*85.接上题,对手机检材进行取证分析,该应用聊天记录数据库的打开密码是什么?【参考格式:ABCabc123】
*86.接上题,机主发送的这个加密文档,打开密码是什么?【参考格式:ABCabc123】
*87.对手机检材进行取证分析,厉明的身份证地址登记的门牌号是多少?【参考格式:123】
*88.对手机检材进行取证分析,分析出“important1.xlsx”文件中体现的“金达欣”银行卡后六位?【参考格式:123456】

posted @ 2025-11-05 19:02  CLAY666  阅读(170)  评论(0)    收藏  举报