2024第五届中科实数杯

已于 2024-08-23 15:15:22 修改
阅读量1.4k 收藏 10
点赞数 9
分类专栏: 取证 文章标签: 网络安全 经验分享
于 2024-07-22 19:12:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/cppuHsir/article/details/140617473
版权

1、检材 1-的手机序列号是?(1 分)

C39QTS9JGRX5

image-20240714225118485

2、检材 1-的备份时间是?(格式:yyyy-mm-dd HH:mm:ss)(2 分)

2024-07-11 02:09:02

image-20240714225203444

3、检材 1-最近使用的 APP 是?(应用名称)(1 分)

铛铛

image-20240714225857302

4、检材 2-即时聊天工具有哪些?(2 分)

MOMO 陌陌、QQ、城信、微信、铛铛

image-20240714225528411

image-20240714225610833

5、检材 2-盗墓团伙之间的通讯 APP 版本是多少?(格式:x.x.x)(1 分)

3.0.36

通过查看数据库信息,铛铛才是聊天的app

image-20240714225712069

6、检材 2-盗墓团伙抱怨的工具有哪些(2 分)

找到铛铛的聊天数据库

image-20240714230106805

7、检材 2-盗墓团伙之间的通讯 APP 证书指纹 SHA256 值是多少? (格式:xx:xx...或 xxxx...)(5 分)

f6605feeee5844b40d457652f0fe8a54ae237f745ff82131bafd196 cfa3e17af

8、检材 3-硬盘的 MD5 值(1 分)

01A2CDF623353043053ED37A7519265B

9、检材 3-硬盘系统分区的起始位置(1 分)

344981504

10、检材 3-系统的当前版本是多少(1 分)

10

11、检材 3-Edge 浏览器最后一次搜索过的关键词是什么(1 分)

狼眼手电

12、检材 3-Edge 浏览器最后一次访问过的与盗墓及文物有关的网站 URL(1 分)

百度安全验证

13、检材 3-主用户的 NT 密码哈希值(2 分)

a0bad269b8d49ccf481513f9875be4c7

取证大师可以直接看

14、检材 4-Mac OS 的版本号(格式:x.x.x)(1 分)

检材四比较特殊,取证时,如果我们什么都不选的话是只能去除mac的内容来的,但是我们如果使用火眼仿真的话我们仿真出来的却是一个win10系统,这说明我们可能仿真进入的是一个win10虚拟机,因为制作镜像的时候它处于win10的状态
然后我重新仿真了一下,在仿真的时候选择了Mac OS,结果就仿出了mac的页面
同样的方法,在选择取证的时候我们把window的自动取证一起取证,结果就能把win10的内容也一起取起来了

12.7.5

15、检材 4-加密货币软件的名字(1 分)

OKX

16、检材 4-Safari 浏览器最后一次搜索过的关键词是什么(1 分)

洛阳铲

17、检材 4-MacBook pro 最后一次访问的文件名(2 分)

提示.doc

18、检材 4-Edge 浏览器最后一次访问过的与盗墓及文物有关的 网站(2 分)

file:///C:/Users/realdata/Desktop/文物流转站聊天室.html

不是很确定,但只看到了这个

19、盗墓团伙最近一次盗墓日期是?(格式:yyyymmdd)(3 分)

20240712

20、盗墓团伙最近一次盗的墓名是?(3 分)

王墓坡

21、大金牙的手机号码是什么?(5 分)

13913913916

前面题目的到他浏览了一个html,打开发现

22、检材 7-虚拟货币钱包的地址(5 分)

23、检材 7-虚拟货币助记词(5 分)

love can play games tomorrow money

通过上面题目这个文件,知道眼镜仔喜欢把密码设置为八位数,直接爆破,密码是20241234

24、检材 3-系统登陆密码(5 分)

20242024

25、该案件中,文物贩子的买家有谁?(给出对应账号名)(3 分)

James,David

26、该案件中,文物贩子与买家的通讯 APP 的包名是?(3 分)

org.telegram.messenger.web

image-20240722175932749

27、大金牙的真实姓名可能是?(3 分)

根据上面提到的大金牙的手机号,去手机建材通讯录里面找就可以看到

28、盗墓团伙要求用什么的虚拟货币交易?(字母简称,例:BTC、 ETH)(3 分)

在macos的镜像里面有一个iPhone备份,我们把它导出来,然后用passware爆破manifist文件密码是364289,里面是眼睛仔的手机备份,可以拿到很多有用信息

MATIC

image-20240722180033160

29、该案件中,谁是文物贩子?(3 分)

大金牙

如题25

30、盗墓团伙最近一次交易的文物有几个?(5 分)

5

找到新交易的压缩包,然后解压,密码在iPhone备份里

yjz_18022462024

image-20240722181410082

解开之后看到里面的文物

image-20240722181454181

31、盗墓团伙最近两次的交易金额是多少?(例:250 BTC)(3 分)

18.8w

image-20240722181741369

image-20240722181746313

32、该案件中,文物贩子卖出的文物名为“SX-WW-202407001” 价格是多少?(5 分)

根据前面问题得知图片隐写工具为手机里的Stegais工具

所以这里考虑直接用这个来破解隐写

首先,跳转到这个文件的地址

把这个文件下载下来,然后放到雷电模拟器里

这里直接把这个base.apk拖进去就好

打开这个软件

看到了是一个图片隐写的工具

把前面这个大金牙出售的照片都找出来,一共四个

img

然后把他们复制到雷电模拟器里面

使用这个工具解密隐写

这张图片就是题目所说的“SX-WW-202407001”,然后点击reveal

img

即可看到加密内容

价格为68600ETH

33、盗墓地点的 GPS 经纬度(格式:经度 xx,xx,xx,纬度 xx,xx,xx) (1 分)

经度112,36,57,纬度37,50,45

检材二里面有一个压缩包,解开可以看到内容

image-20240722182651114

根据聊天记录

image-20240722182744680

image-20240722182920074

34、盗墓前集合地的 GPS 经纬度(格式:经度 xx,xx,xx,纬度 xx,xx,xx)(1 分)

经度112,36,53,纬度37,45,51

太原站

image-20240722183048720

35、盗墓后集合地的 GPS 经纬度(格式:经度 xx,xx,xx,纬度 xx,xx,xx)(1 分)

经度112,36,52,纬度37,47,51

太原汽车站

image-20240722183138126

36、检材 6-中最近一次呼入的号码是?(1 分)

059128492197

image-20240722183304108

37、检材 6-浏览器第一次搜索的内容是?(1 分)

隐写工具

image-20240722183417330

38-39比较简单,涉及敏感问题就不放了

40、检材 6-手机上安装了哪些隐写工具?(1 分)

Stegais、Steganography

image-20240722183620911

41、检材 8-使用的苹果账号是?(1 分)

rdmf_top@163.com

image-20240722183704020

42、检材 8-系统版本是?(x.x.x)(1 分)

17.5.1

image-20240722183747701

43、检材 8-使用的 WiFi 网络名为“大兄弟的网络”的 MAC 地址 是?(例:xx:xx...)(2 分)

5e:37:7d:2a:47:5e

image-20240722184251949

44、检材 8-手机 IMEI 是?(1 分)

357272092128408

image-20240722184336579

45、检材 3-BitLocker 恢复密钥(5 分)

010461-617507-553498-499752-253286-356334-124773-180169

计算机取证_【全国计算机取证技术研讨会暨第二届“中科实数全国电子数据取证与司法鉴定挑战赛】...
weixin_35266799的博客
01-13 1179
2019年7月13日,由中国中文信息协会、中国电子学会计算机取证专家委员会主办、山西警察学院承办的第九届全国计算机取证技术研讨会暨第二届“中科实数”全国电子数据取证与司法鉴定挑战赛在山西警察学院拉开帷幕。 山西警察学院党委副书记、院长张惠选首先致欢迎辞。 与会领导专家还有中国工程院院士沈昌祥、原公安部网络安全保卫局巡视员顾坚、中国科学院高能物理研究所研究员许榕生、中国刑事警...
第三届“中科实数”团队赛wp
Hilllle的博客
04-09 7967
有嫌疑人在使用Windows系统,取证人员对该系统进行了硬盘镜像。通过自己的工具软件对档案袋中的镜像文件进行提取、分析、逆向、恢复、破解、查找等,在线完成填空、简答和司法鉴定意见书。
2024中科实数
wuwuliuliu0524的博客
07-16 1556
狼眼手电洛阳铲文物流转站聊天室.html弘连中的答案是提示.doc,但是这个是文档,不是文件,文档是文件的一类,而且没有最后访问时间,感觉取证大师的更对文物流转站聊天室.html。
第四届“中科实数”全国电子数据取证与司法鉴定挑战赛
weixin_72667582的博客
12-20 1876
常见的诈骗话术2023万达广场(南沙店)小西米语音app下载团队赛第四,做到最后手冷到打不了字QAQ,警大的同学好热情~Galaxy#b3nguang 写于2023/12/20。
2023“中科实数”全国电子数据取证竞赛
Tummyiii的博客
02-06 1804
查看取证大师系统时间更改在时间查看器里面搜索系统时间最近一次的事件ID号为4616这里一定要注意,记录时间和新时间差8h,推测记录时间是UTC+8,新时间是UTC+0,所以以前的时间应该也是UTC+0,时间也要加8小时,才是UTC+8常见的诈骗话术2023从22题可知,备份密码是五位纯数字passware添加掩码攻击按理说,这样的攻击方式就可以了,不知道为什么我的passware这种方式一运行就卡死了我改换思路,使用字典攻击。
2023中科实数wp
wuwuliuliu0524的博客
01-28 2250
常见的诈骗话术2023给的检材里面没有通话记录,电脑里有个手机备份,设置了备份密码,查看下Manifest.plist(2021年美亚个人赛第30题考过这个文件),确实加密了万达广场(南沙店)不能确定HotsCoin是数字交易app,有师傅写这个读取时间的2023-12-04 13:28:19西电的师傅说是这个还是不能确定的ios备份密码忘了怎么办 五位纯数字龙信能跑出来,弘连跑不出来,这个内容提示备份密码是5位纯数字。
2019中科实数( Q1内存镜像取证分析、Q4加密磁盘分析)
ShenZ的博客
11-23 1619
题目 Q1 内存取证 Q4 加密容器
第五届“龙芯”全国大学生计算机系统能力培养大赛参赛资料.zip
03-20
第五届“龙芯”全国大学生计算机系统能力培养大赛参赛资料简介 这份参赛资料是为参加2021年第五届“龙芯”全国大学生计算机系统能力培养大赛而准备的。该赛事由全国高等学校计算机教育研究会、中国互联网发展...
2024嵌入式大厂面经中科卓视笔试
06-09
根据给定的信息,我们将重点分析“2024嵌入式大厂面经中科卓视笔试”的相关内容。这里主要涉及的是嵌入式系统的知识体系、中科卓视公司的背景以及笔试可能涵盖的技术要点。 ### 嵌入式系统基础知识 #### 1. **...
2024嵌入式大厂面经中科开源面试题
06-09
根据给定文件的信息,我们可以提炼出与嵌入式软件开发相关的知识点,并针对“2024嵌入式大厂面经中科开源面试题”这一主题进行深入探讨。 ### 嵌入式系统概述 嵌入式系统是一种专门设计用于执行特定功能的计算机...
中科参赛中
安树峰的专栏
05-15 613
2023年第四届中科
weixin_49064458的博客
01-08 3326
第四届“中科实数”全国电子数据取证暨司法鉴定挑战赛受害人报案,其被嫌疑人王某多次通过微信进行诈骗,对受害人手机进行快采后,公安机关根据已有线索,发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。
2020年第三届中科实数 Android模拟器分析部分 wp
ShenZ的博客
11-14 2113
打完美亚了,把之前练习的wp都放出来,答案不一定准确,只是个人思路 Android模拟器分析 当事人在电脑上安装了Android模拟器,下面内容均为模拟器中Android系统及应用的信息,请分析如下事项: ...
第二届“中科实数”全国电子数据取证 wp
Hilllle的博客
04-09 9805
准备参加第三届的比赛了,特意把第二届的比赛写一下,第一次写wp,不足之处请多多指点 案件背景: 第二部分------案件背景介绍 王刚(英文名kugoo)是一家国内大型电子商务公司的服务器管理员,他负责公司多台服务器的日常运维管理。 王刚利用个人职位之便,私下将客户的资料卖给第三方获得高额回报。电商平台的不少客户遭受诈骗和营销推广骚扰,该企业纷纷收到投诉,公司怀疑有人泄漏了平台的用户数据。 该公司聘请第三方专业取证调查公司协助开展调查,需调查王刚在职期间利用个人职位之便贩卖客户信息的行为及关键证据。在王刚
2023中科实数个人学习记录_(┐「ε:)_
qq_64168229的博客
02-10 1239
(格式:YYYY-MM-DD HH:MM:SS)(2分)19、检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)20、检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)7、检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)8、检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)15、检材二备份的时间是多少?
2023中科实数
alphabeedmun的博客
06-18 1147
有问题请私信!
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8690
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
电赛经验分享——模块篇
最新发布
Thunder Boy的博客
05-05 1432
本文介绍控制题电赛常用的一些模块。
请找出正在运行的所有以b开头的进程名(不区分大小写),写出其对应的程序的完整路径。 中科实数
11-26
在Linux系统中,你可以使用`ps`命令结合`grep`过滤和`awk`提取相关信息来查找所有以字母“b”开头的进程及其路径。但是请注意,由于权限限制,普通用户可能无法获取到所有用户的进程信息,特别是对于root用户级别的进程。 以下是步骤: ```bash # 使用ps -eo comm=,cmd= | grep '^b' 获取进程名和完整命令行 # comm列显示进程名称,cmd列显示完整的命令行 ps -eo comm=,cmd= | grep '^b' | awk '{print $2}' # 如果你想看到每个进程的完整路径,可以尝试通过进程ID(PID)去'/proc'目录下查看,但这通常需要管理员权限 # ps -ef | grep 'b\|^b' | awk '{if ($8 ~ /^\/bin\/bash/) print $2 " - "$8}' (这里假设大多数以b开始的进程是用/bin/bash启动) 注意:上述命令可能因系统的实际配置和安全设置有所不同,如果遇到权限问题,可能需要root权限或特定的用户权限才能访问某些信息。另外,这个过程可能会列出一些后台守护进程或其他非直观的相关进程,确保理解它们的意义。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值