Android程序分析

计算机取证

1、嫌疑人魏文茵计算机的操作系统版本?[答案格式:Windows 7 Ultimate 8603][★☆☆☆☆]

Windows 10 Professional 14393

2、嫌疑人魏文茵计算机默认的浏览器是?[答案格式:A][★☆☆☆☆]

A、Edge

B、Internet Explorer

C、Google Chrome

D、360浏览器

3、嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?[答案格式:A][★☆☆☆☆]

A、掠夺攻略.docx

B、工资表.xlsx

C、刷单秘籍.docx

D、脚本.docx

4、嫌疑人魏文茵计算机中存在几个加密分区?[答案格式:3个][★★☆☆☆]

1个

5、嫌疑人魏文茵计算机中安装了哪个第三方加密容器?[答案格式:VeraCrypt]][★☆☆☆☆]

TrueCrypt

6、接上题，嫌疑人魏文茵计算机中加密容器加密后的容器文件路径？[答案格式:C:\xxx\xxx][★★☆☆☆]

C:\Users\WH\Documents

‪

7、嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?[答案格式: 000000-000000-000000-000000-000000-000000-000000-000000]][★★★☆☆]

000649-583407-395868-441210-589776-038698-479083-651618

取证大师中对D盘进行卷影分析，原始数据搜索恢复密钥

恢复密钥在卷影的未分配簇中

8、嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?[答案格式:11][★☆☆☆☆]

38

*9、投资理财团伙“华中组”目前诈骗收益大约多少?[答案格式:10万][★★☆☆☆]

没找到，有无大佬指点一下

10、通过对嫌疑人魏文茵计算机内存分析，print.exe的PID是？[答案格式:123][★★☆☆☆]

728

11、根据臧觅风的计算机分析，请给出技术人员计算机“zang.E01”的SHA-1?[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★☆☆☆☆]

239F39E353358584691790DDA5FF49BAA07CFDBB

12、根据臧觅风的计算机分析，请给出该技术人员计算机“zang.E01”的总扇区数？[答案格式:100,000,000][★★☆☆☆]

536,870,912

13、根据臧觅风的计算机分析，以下那个文件不是技术人员通过浏览器下载的？[答案格式:A][★☆☆☆☆]  

A、WeChatSetup.exea

B、Drive.exe  

C、Potato_Desktop2.37.zip

D、BaiduNetdisk_7.27.0.5.exe

14、根据臧觅风的计算机分析，请给出该技术人员邮件附件“好东西.zip”解压密码？[答案格式:abc123][★★★★★]

kangshifu0008

挂梯子访问谷歌浏览器下载链接下载zip和z01

里面是源码

在臧觅风的手机tg聊天记录中提到过解压密码是发件人的邮箱，解压一下

使用kangshifu0008解压成功

15、根据臧觅风的计算机分析，该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号？[答案格式:22][★★☆☆☆]

2282

16、根据臧觅风的计算机分析，接上题，请给出服务器的密码？[答案格式:password[★★★★☆]

P@ssw0rd

17、根据臧觅风的计算机分析，据该技术人员交代，其电脑内有个保存各种密码的txt文件，请找出该文件，计算其MD5值？[答案格式:7B2DC1741AE00D7776F64064CDA321037563A769][★★★★★]

C1934045C3348EA1BA618279AAC38C67

18、根据臧觅风的计算机分析，该技术人员曾使用过加密容器反取证技术，请给出该容器挂载的盘符？[答案格式:A][★☆☆☆☆]

F

仿真，找到TC

在历史访问记录中找到访问F盘的记录

19、根据臧觅风的计算机分析，请给出该技术人员电脑内keePass的Master Password？[答案格式:password12#][★★★★☆]

xiaozang123!@#

找到TC容器为资料.docx

使用Elcomsoft Forensic Disk Decryptor的Decrypt or mount disk（解密或/挂载磁盘）功能

选择Container（容器）

使用内存镜像解密TC容器

找到密钥

导出密钥

选择Mount Disk（挂载磁盘）

挂载在F盘

在F盘找到一个文档，记录了KeePass的Master password

20、根据臧觅风的计算机分析，请给出该技术人员所使用的爬虫工具名称？[答案格式:xxx][★★☆☆☆]

后羿采集器

21、根据臧觅风的计算机分析，接上题，该技术人员通过该采集器一共采集了多少条人员信息数据？[答案格式:10,000][★★★★★]

19,225

之前在分析容恨寒手机时发现了臧觅风发送了爬取到的信息的文件

全部导出查看

100条

17条

18970条

96条

29条

13条

22、根据臧觅风的计算机分析，以下那个不是该技术人员通过爬虫工具采集的数据？[答案格式:A][★☆☆☆☆]    

A、中国证券投资基金业协人员信息

B、仓山区市场监督管理局行政执法人员信息

C、清平镇卫生院基本公共卫生服务

D、仓山区市场监督管理局行政执法人员信息

23、根据臧觅风的计算机分析，该嫌疑人曾浏览过“阿里云WebDAV”，请给出该“阿里云WebDAV”端口号？[答案格式:2211][★★☆☆☆]

8080

根据后面软路由分析找到端口号为8080

在Chrome的历史记录里面也确实访问过

24、根据臧觅风的计算机分析，请给出该技术人员电脑内代理软件所使用的端口号？[答案格式:2211][★★☆☆☆]

7890

25、根据臧觅风的计算机分析，接上题，请给出该代理软件内订阅链接的token？[答案格式:abc1234df334…][★★☆☆☆]

d4029286acc8bfd97818d5f8724f0f0a

26、根据臧觅风的计算机分析，请给出该技术人员电脑内用于内部通联工具的地址和端口？[答案格式:www.baidu.com:1122][★★★☆☆]

im.pgscup.com:6661

桌面上找到potato

27、根据臧觅风的计算机分析，请给出该电脑内存镜像创建的时间（北京时间）？[答案格式:2023-05-06 14:00:00][★☆☆☆☆]

2023-04-27 17:57:53

28、根据臧觅风的计算机分析，以下那个不是“chrone.exe”的动态链接库？[答案格式:A][★★★★☆]        

A、ntdll.dll

B、iertutil.dll

C、wow64cpu.dll

D、wow64win.dll

29、根据臧觅风的计算机分析，请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少？[答案格式:0xxxxx123…][★★☆☆☆]

0xab861963e000

30、根据臧觅风的计算机分析，据嫌疑人交代，其电脑上曾存打开过一个名为“账号信息.docx”的文档，请给出该文档的最后访问时间（北京时间）？[答案格式:2023-05-06 14:00:00][★★★★☆]

2023-04-27 17:55:32

31、根据臧觅风的计算机分析，接上题，请给出该文档的存储路径？[答案格式:C:\xxx\xxx][★★★☆☆]

D:\backup\mydata

同上题图

32、嫌疑人容恨寒苹果电脑的系统版本名称是？[答案格式:注意大小写][★☆☆☆☆]

macOS 12.6

电脑需要密码，密码在坚果Pro3手机备忘录，为apple

33、嫌疑人容恨寒苹果电脑操作系统安装日期是？[答案格式:2000-01-01][★★☆☆☆]

2022-10-09 13:11:30

34、嫌疑人容恨寒苹果电脑的内核版本是？[答案格式:xxxxx 11.0.4，注意大小写][★☆☆☆☆]

Darwin Kernel Version 21.6.0

仿真，uname -a

*35、嫌疑人容恨寒苹果电脑有多少正在运行的后台程序？[答案格式:20][★★☆☆☆]

10

仿真，查看最近运行使用的项目中的应用程序个数

因为仿真查看活动监视器的进程数会变化，所以无法确定，这里假设答案就是要找最近运行的程序个数

36、嫌疑人容恨寒苹果电脑最后一次关机时间（GMT）？[答案格式:2000-01-01 01:00:09][★★☆☆☆]

2023-04-14 07:55:50

37、嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令？[答案格式:20][★★★☆☆]

15

hostname

38、从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是？[答案格式:20][★★★★☆]

10

在容恨寒的桌面上有个资料-.华南分区流水，查看十六进制发现是RAR

导出发现需要解压密码

根据potato聊天记录中提到的密码规则进行掩码攻击

解压在华南区.xlsx中找到陆文杰

筛选出陆文杰

39、从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是？[答案格式:8小时][★★★★☆]

2.5小时

在解压出来的脚本.xlsx中找到

40、从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是？[答案格式:[email protected]][★★★★☆]

[email protected]

在人员信息.txt中找到万便相关信息

42、通过分析得出嫌疑人容恨寒小孩的年龄是？[答案格式:10岁][★★★☆☆]

13岁/14岁

在废纸篓里面找到奥数教程·八年级能力测试.pdf，八年级一般都是在13岁或14岁

二进制文件分析

1、根据魏文茵的计算机分析，恶意程序加了什么类型的壳[答案：asdcz][★★☆☆☆]

upx

在下载目录里面找到print.exe，腾讯哈勃分析，UPX壳

2、根据魏文茵的计算机分析，恶意程序调用了几个dll[答案：1][★★★☆☆]

5

3、根据魏文茵的计算机分析，恶意程序中send函数被多少个函数调用[答案：1][★★★☆☆]

6

分析send函数的交叉引用

4、根据魏文茵的计算机分析，恶意程序远控端ip[答案：120.1.2.3][★★☆☆☆]

192.168.8.110

5、根据魏文茵的计算机分析，恶意程序远控端端口[答案：123][★★☆☆☆]

6069

16进制转10进制

6、根据魏文茵的计算机分析，恶意程序用到是tcp还是udp[★★★☆☆]

A、tcp

B、udp

7、根据魏文茵的计算机分析，恶意程序能执行几条命令[答案：123][★★★★☆]

5

8、根据魏文茵的计算机分析，恶意程序加密电脑文件对应是哪个命令[答案：1a][★★★☆☆]

6s

9、根据魏文茵的计算机分析，恶意程序加密哪些后缀文件[★★★☆☆]

A、docx

B、xlsx

C、pdf

D、doc

10、根据魏文茵的计算机分析，编写该程序电脑的用户名是[答案：12345][★★★★★]

22383

11、嫌疑人魏文茵计算机中“工资表.xlsx”中，发放工资总金额为：[答案格式:12345]][★★★★★]

44300

程序加密方式为每个字节+1，用Python脚本解密

暗网取证

1、臧觅风电脑使用暗网浏览器版本是？[答案格式：10.0.0][★☆☆☆☆]

12.0.4

前面使用Elcomsoft Forensic Disk Decryptor从内存镜像中导出密钥文件解开了TC容器资料.docx，在Keepass中找到一个TC密码Zang!@#123

使用TC用密码加载容器

这里可以看到类型是隐藏，之前解密的是容器的外部加密卷，现在解开的是容器的内部加密卷

在F盘找到Tor Browser

根据臧的程序运行记录

找到浏览器程序打开，在关于里面可以看到版本为12.0.4

2、臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是？[答案格式：制作][★★☆☆☆]

比特币市场

找到/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default下的places.sqlite

找到moz_places表

或者用本地挂载TC加密容器的内部加密卷

使用火眼进行分析

3、臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是？[答案格式：2000-01-01 01:00:09][★★★★☆]

2022-05-27 21:49:33

找到moz_bookmarks表

转换时间戳

火眼

4、臧觅风电脑使用的暗网浏览器第一次使用时间是？[答案格式：2000-01-01 01:00:09][★★★☆☆]

2023-04-12 10:19:06

在moz_historyvisits表看第一次访问的时间

时间戳转换

火眼

5、臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是？[答案格式：字母小写][★★★★★]

ea86403d1de3089b3d32fe5706d552f6

找到扩展文件安装目录/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default/extensions

导出xpi包解压，在content目录下找到ftp.js

计算md5

物联取证

1、请给出该软路由管理的IP地址？[答案格式:192.168.1.1][★☆☆☆☆]

192.168.8.20

直接把所有镜像一起挂到仿真软件中，不管报错，直接开启虚拟机，直接不用密码就能登录openwrt的系统

2、请给出该软路由管理员的密码？[答案格式:admin123!@#][★★★☆☆]

P@ssw0rd

配好网后访问

密码之前在臧觅风电脑里找到过

登录成功

3、请给出阿里云WebDAV的token？[答案格式:bac123sasdew3212…][★★☆☆☆]

afc455bdc29a45b18f3bae5048971e76

4、请给出该软路由所用机场订阅的token？[答案格式:bac123sasdew3212…][★★☆☆☆]

502f6affe3c7deb071d65fb43effc06d

5、请给出该软路由数据卷的UUID？[答案格式:8adn28hd-00c0c0c0…][★★☆☆☆]

9a89a5ec-dae6-488a-84bf-80a67388ff37

blkid，找到label="data"

6、请给出该软路由的共享路径？[答案格式:/home/data][★★☆☆☆]

/mnt/data

cat /etc/samba/smb.conf

服务器取证

1、请给出IM服务器的当前Build版本？[答案格式:11111][★☆☆☆☆]

17763

在openwrt后台找到存储，打开文件管理器

账号密码在Rclone里面，为admin/admin，在/mnt/data/IM找到Windows Server虚拟机文件

把所有文件导出来，运行vmx文件打开虚拟机，发现需要密码

搜索发现https://www.howtogeek.com/6169/use-truecrypt-to-secure-your-data/，这是被VC加密的盘

查看vmx中的配置可知，启动系统是用的Windows Server 2019-000002.vmdk

使用火眼分析Windows Server 2019.vmdk和Windows Server 2019-000003.vmdk，在Windows Server 2019-000003.vmdk的最近访问记录中发现一个新建文本文档.txt

找到文档，得到密码123w.pgscup.com

这就是VC加密磁盘的密码，输入后成功进入系统

使用P@ssw0rd登录进系统

查看系统信息得到Build版本

2、请给出IM聊天服务的启动密码？[答案格式:3w.Baidu.com][★★★★★]

123w.pgscup.com

从上题得出

3、请给出该聊天服务器所用的PHP版本？[答案格式:7.2.5][★★★★☆]

7.4.32

4、请给出该服务器所用的数据库类型及版本？[答案格式:mysql 5.7.1][★★★★★]

mysql 10.4.12

5、请给出该服务器MySQL数据库root账号的密码？[答案格式:3w.baidu.com][★★★★★]

www.upsoft01.com

在C盘的Program Files (x86)目录下找到IM_Console目录

在其下的/im_webserver/htdocs/Application/Common/Conf目录找到config.php，其中记录了mysql数据库账号密码

6、请给该IM服务器内当前企业所使用的数据库？[答案格式:admin_admin][★★★★☆]

antdbms_ustdreclub

使用admin/123456登录，密码错误，查看数据包发现是前端md5加密传输

在数据库中找到密码密文

解不出

替换123456的md5值

使用admin/123456登录

在SAAS管理找到企业usdtreclub的数据库名

7、请给出该组织“usdtreclub”内共有多少个部门（不含分区）？[答案格式:1][★★★☆☆]

5

在即时通讯总控制台的SAAS管理点击企业usdtreclub的控制台

进入到登录界面

在数据库的hs_user表中找到superadmin的密码密文

md5解密得到bigant@2018，登录

在人员管理->组织管理找到部门信息

8、客户端消息传输采用哪种加密形式？[答案格式:A][★★☆☆☆]              

A、AES128

B、AES256

C、DES

D、Base64

9、以下那个不是此系统提供的应用？[答案格式:A][★★☆☆☆]

A、云盘

B、审批

C、会议

D、考勤

10、请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址？[答案格式:08-AA-33-DF-1A][★★★☆☆]

80-B6-55-EF-90-8E

11、请给出用户“卢正文”的手机号码？[答案格式:13888888888][★★★★☆]

13580912153

前面potato数据库分析的时候有

在下载目录的表格中

集群服务器取证

参考大佬wphttps://blog.csdn.net/Grignard_/article/details/130592473by浙江警察学院@Zodi4c#grignard

给集群配网

ip a查看网络信息

Server1

Server2

Server3

修改虚拟机NAT网络设置

让本机能ping通

history查看历史命令

Server1

Server2

Server3

应该是还有一个192.168.8的网段的网卡

在/etc/sysconfig/network-scripts目录找到还有一张en34

Server1

Server2

Server3

新建一个网卡

给Server1/2/3添加这张网卡

再ip a查看网络信息发现多出ens37这张网卡

将Server1/2/3的/etc/sysconfig/network-scripts下的ifcfg-ens34改名为ifcfg-ens37将其中的ens34全部改为ens37

重启一下每个服务器

kubectl apply -f https://kuboard.cn/install-script/kuboard.yaml

在master服务器上安装Kuboard可视化管理面板

echo $(kubectl -n kube-system get secret $(kubectl -n kube-system get secret | grep ^kuboard-user | awk '{print $1}') -o go-template='{{.data.token}}' | base64 -d)

获取token

登录

1、请给出集群master节点的内核版本？[答案格式:2.6.0-104.e11.x86_64][★☆☆☆☆]

3.10.0-957.el7.x86_64

master节点是server01

2、请给出该集群的pod网络？[答案格式:192.168.0.0/24][★★★★☆]

10.244.0.0/16

kubectl get configmap kubeadm-config -n kube-system -o yaml

3、请给出该集群所用的网络插件？[答案格式:abcd][★★☆☆☆]

calico

4、默认ns除外，本集群共有多少个ns？[答案格式:1][★★★☆☆]

8

5、请给出该集群的集群IP？[答案格式:192.168.0.0][★★☆☆☆]

192.168.91.171

kubectl cluster-info

6、请给出该ns为“licai”svc为“php-svc”的访问类型？[答案格式:Abc][★★☆☆☆]

NodePort

kubectl get svc --all-namespaces

7、请给出ns为“shuadan”下的的PHP版本？[答案格式:1.1][★★★★★]

7.2

8、请给出本机集群所使用的私有仓库地址？[答案格式:192.168.0.0][★★★★☆]

192.168.8.12

cat /etc/docker/daemon.json

9、接上题，请给出登录该私有仓库所用的token？[答案格式:bae213ionada21…][★★★★★]

dXNlcjozVy5wZ3NjdXAuY29t

cat /root/.docker/config.json

10、请给出“licaisite”持久化存储的大小？[答案格式:10G][★★☆☆☆]

6G

kubectl get pv

11、接上题，请给出对应的存储持久化声明名称？[答案格式:abc-abc][★★★☆☆]

licaisite-pvc

12、请给出集群内部署网站所使用数据库的IP地址和端口号？[答案格式:192.168.0.0:8080][★★★☆☆]

61.150.31.142:3306

13、请给出网站“vip.kefu.com”所使用的端口号？[答案格式:8080][★★☆☆☆]

8083

臧觅风Chrome历史记录

14、请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码？[答案格式root/password][★★★★★]

vip.shuadan.com/nFRrSNh6Msnbtpay

找到/www/site/shuadan/config/database.php

解密一下

15、请给出调证数据库的版本号？[答案格式5.7.1][★★★★★]

5.6.50

解压给的数据库源码在localhost.log

16、请给出刷单网站客服域名？[答案格式:www.baidu.com][★★★★★】

vip.kefu.com

网站重构

数据库本地搭建

用本地的phpstudy中安装一个mysql5.7.26环境，将给出的数据库替换data目录

配置my.ini，在[mysqld]下加入skip-grant-tables

Navicat连接查看

后面修改网站与数据库连接文件时就不需要管用户名和密码了

网站重构

根据服务器/www/log目录中的日志文件，可知每个网站对应的域名

客服网站重构

在小皮面板新建网站

配置伪静态

将kefu源码导入

修改/config/database.php（只用修改服务器地址为127.0.0.1即可）

访问网站，重构完成

刷单网站重构

配置伪静态

导入源码

修改/config/database.php

访问网站，重构完成

理财网站重构

新建网站

配置伪静态

导入源码

修改index.php中数据库连接信息

修改\Application\Common\Conf下的config.php

访问网站，重构完成

17、请给出理财客服系统用户“admin”共有多少个会话窗口？[答案格式:123][★★★★★]

13

到vip.usdtre.club的登录界面

在数据库的tw_user表找一个用户

密码md5解密一下

使用15510192688/123456登录

在源代码中搜索弹窗中的关键词定位到判断代码

在数据库中将该用户的status改成1

再次尝试登录

访问vip.kefu.com后台

到数据库找到wolive_admin表

密码md5解不出

随便试一个admin/123456

定位到源码

找到getEncryptPassword函数

规则是将密码做一次md5再拼接用户名做一次md5，自己根据规则生成一个密码

替换到数据库

成功登录

在客服列表里面能看到一个物联智慧购和一个USDTRE

理财平台是USDTRE，当前咨询用户数为13

18、刷单客服是嵌套在刷单源码下那个文件内，请给出该文件在网站源码内的目录和文件名？[答案格式:www.baidu.com:8080/login.html][★★★★★]

/application/index/view/user/user.html

在刷单的登录界面用admin/123456发现登录成功

在个人中心中查看元素可以看到在线客服是会跳转到客服站

根据这段html到源码中搜索

在服务器中找到该文件的路径

19、请统计出刷单网站后台累计提现成功的金额？[答案格式:1000][★☆☆☆☆]

7611

查看网站vip.shuadan.com的访问日志vip.shuadan.com.log，找到后台地址是/admin_2019

在数据库的admin表中找到管理员账号密码

这里把weiliang的密码进行md5解密得到123456

登录后台

找到财务管理->提现管理，可以看懂累计提现成功的金额

20、请给出受害人上级的电话号码？[答案格式:13888888888][★★★☆☆]

18727164553

受害人是张娟，在会员信息管理表中找到推荐人为pq417

找到pq417为容恨寒

这里手机号打码了，在数据库的user表中找到

21、请给出刷单网站受害人加款的时间（北京时间）？[答案格式:2023-05-06 14:00:00][★★★☆☆]

2023-04-12 14:57:32

在会员信息管理找到张娟点击明细

可以看到加款的时间

22、该理财网站曾经被挂马，请给出上传木马者的IP？[答案格式:192.168.10.10][★★★☆☆]

103.177.44.10

导出网站源码，D盾扫一下

在刷单网站？

找到访问日志

23、接上题，请找到此木马，计算该木马的md5？[答案格式:123dadgadad332...][★★★☆☆]

339c925222a41011ac1a7e55ec408202

24、请统计该投资理财平台累计交易额为多少亿？[答案格式:1.8][★★☆☆☆]

1.42

在vip.usdtre.club的访问日志vip.usdtre.club.log找到管理后台地址

访问/admin/login?urlkey=123456进入管理后台

在数据库的tw_admin表找到管理员账号密码

md5查不到

随便输入一个密码查看报错信息

定位到代码

密码是直接md5加密，这里使用123456的md5替换数据库中的值

登录成功，可以直接看到累计交易额

25、请给出该虚拟币投资平台内用户“李国斌”的银行卡号？[答案格式:622222222222222][★★★☆☆]

6212260808001710173

在tw_user_bank表找到

26、分析该虚拟币投资平台财务明细表，用户“13912345678”共支出多少钱（cnc）, 结果保留两位小数？[答案格式:10000.00][★★★★★]

不确定

后台可以找到财务明细表，但是收入支出金额比较混乱，不知如何统计，可以参考grignard大佬的wp