2024数证杯线上初赛-手机部分
数证杯线上赛复盘
手机板块
1.[填空题]对手机镜像进行分析,机主微信ID号为?(答案按照实际填写,字母全小写)(2分)
火眼一把梭
答案:wxid_gvlyzqeyg83o22
2.[填空题]对手机镜像进行分析,机主在2023年12月登录宝塔面板使用的验证码为?(填写数字,答案格式如:1234)(2分)
还是火眼一把梭,在短信中看就行
答案:482762
3.[填空题]对手机镜像进行分析,小众即时通讯“鸽达”应用程序的最后更新时间为?(答案格式如:1970-01-0100:00:00)(2分)
先在apk分析中找到该软件的包名,再到应用列表中找出来,选择详细信息就能看到
答案: 2024-09-20 09:25:19
4.[填空题]对手机镜像进行分析,该手机中记录的最后一次开机时间。(答案格式如:1970-01-0100:00:00)(2分)
系统日志里面查看,按照时间降序排列
答案:2024-10-24 11:27:14
5.[填空题]对手机镜像进行分析,该手机中高德地图APP应用的登录ID为?(答案按照实际填写)(2分)
火眼一把梭
答案: 950980338
6.[填空题]对手机镜像进行分析,该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?(答案格式:大写字母与数字组合,如:D23DDF44)(2分)
头像在图库里翻一翻就能找到,跳到资源文件,右键计算sha-256
答案:572589DA
7.[填空题]对手机镜像进行分析,其中20220207-20230206的微信账单文件的解压密码为?(答案格式:按实际值填写)(2分)
在图片里偶然翻到的
答案:847905
8.[填空题]对手机镜像进行分析,机主在手机中存储的一张复古士砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市)(2分)
图片里就一个小土墙,找出来提取出来放potatotool图片exif查看即可,或者随便搜一个在线的exif查看都行(https://www.json.cn/exif/)
答案:景德镇市
- [填空题]对手机镜像进行分析,通过AI合成的人脸照片中,有几张照片是通过本机当前安装的AI照片合成工具生成,并有对应记录的?(填写数字,答案格式如:1234) (4分)
最好用本地资源管理器打开看图片的名称,有几个可疑的前缀(如何判断,前面没有前缀_的是下载的图片,带img的是拍照的,screenshot是截图)thumb和u,用模拟器来试一试就知道是thumb,但其实都是三张,直接填3也可以的
答案:3
10.[填空题]对手机镜像进行分析,统计出通讯录号码归属地第二多的省份是?(答案格式:广东)(4分)
只要耐心数就知道福建第二多(美亚出的题是这样的)
答案:福建
11.[填空题]对手机镜像进行分析,找出”季令柏”身份证号后4位为?(答案格式:1234)(2分)
有个打不开的图片叫我的身份证电子信息,十六进制编辑器打开文件头损坏,修一下即可
答案:8043
11.[填空题]对手机镜像进行分析,找出接收”葵花宝典1.doc”文件使用的应用程序的第一次安装时间为?(答案格式如:1970-01-01 00:00:00)(2分)
微信里没有肯定就是telegram了,搜一下确定下即可
答案:2024-09-20 09:29:40
13.[填空题]对手机镜像进行分析,机主使用的小众即时通讯,应用使用的服务器IP为?(答案格式:127.0.0.1)(2分)
小众即时通讯就是鸽达,放入jadx反编译apk搜http就行
答案:163.179.125.64
14.[填空题]对手机镜像进行分析,机主在哪个平台上发布过转让传奇游戏币的信息,请写出该平台应用APP的包名?(答案格式:com.abcd)(4分)
确实没啥思路,但在其他app中有个交易平台95分,就猜了这个(看起来像得物)
答案: com.jiuwu
15.[填空题]对手机镜像进行分析,其中有一“双色球”网页的玩法规则中定义的”三等奖”的奖金是多少?(填写数字,答案格式如:1234)(4分)
不会,找不到
16.[填空题]对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的用户ID为?(答案格式:答案按照实际填写)(2分)
火眼直接梭
答案:2968704175
16.[填空题]对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的IP地址为?(答案格式:127.0.0.1)(4分)
参考Th1n_Ker大佬(大佬的博客链接:https://tn1k6.github.io)的解题思路,找到该数据包底下的mmkv里的data.info就能找到ip。
答案:192.168.110.106
流量包部分
1.分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10)(2分)
直接查看一下文件属性即可(注意不是那个总时间)
答案:3504
2.分析网络流量包检材,抓取该流量包时使用计算机操作系统的build版本是多少?(答案格式:10D32) (2分)
同上面查看一下
答案:23F79
3.分析网络流量包检材,受害者的IP地址是?(答案格式:192.168.1.1) (2分)
观察一下tcp流,可以看到占比最大就是192.168.75.131和192.168.75.132,接下来就是判断哪个是攻击机哪个是受害者了,查看一下arp报文,哪个有扫描网段行为就是攻击机,明显是132,那受害者就是131了
答案:192.168.75.131
4.分析网络流量包检材,受害者所使用的操作系统是?(小写字母,答案格式:biwu) (2分)
分析操作系统找http报文中受害者给攻击机发的那几个就行,随便一个查看一下超文本协议下面的信息中的服务端就能看到答案
答案:Ubuntu
5.分析网络流量包检材,攻击者使用的端口扫描工具是?(小写字母,答案格式:abc) (2分)
这从开始那个arp协议就能看出来是nmap在扫描,同样可以在http报文中看到nmap
答案:nmap
浙公网安备 33010602011771号