wuwuliuliu0524的博客

后使用vm重构虚拟机，发现启动不起来，提示“无法连接虚拟设备 sata0:1，0因为主机上没有相对应的设备”，后进入蓝屏Boot Manager，网上的一些解决办法都没用，重复试了几次，怀疑是FTK没把镜像挂载上。总结：手动仿真遇到“无法连接虚拟设备 sata0:1，0因为主机上没有相对应的设备”报错时，注意看一下镜像是否挂载成功，FTK、CSI Mounter、Arsenal-Image-Mounter轮流试试。又试了一下CSI Mounter挂载镜像。手动仿真中使用FTK挂载镜像。

容器密码MjAyNeWKoOayuQ==

狼眼手电洛阳铲文物流转站聊天室.html弘连中的答案是提示.doc，但是这个是文档，不是文件，文档是文件的一类，而且没有最后访问时间，感觉取证大师的更对文物流转站聊天室.html。

进入对应容器。

2024年4月，卢某报案至警方，声称自己疑似遭受了“杀猪盘”诈骗，大量钱财被骗走。卢某透露，在与某公司交流过程中结识了员工李某。李某私下诱导卢某参与赌博游戏，起初资金出入均属正常。但随后，李某称赌博平台为提升安全性，更换了地址和玩法，转为通过群聊抢红包形式进行赌博。随着赌资不断增加，卢某投入巨额资金后，发现无法再访问该网站，同时李某也失去联系，卢某遂意识到自己被骗。在经济压力下，卢某选择报警，并承认参与赌博活动，愿意承担相应法律后果。

案情容器密码：盘古石杯晋级赛案情123！@#检材容器密码：2b26ba7ed35d622d8ec19ad0322abc52160ddbfa检材列表：受害人：支婉静：手机报告.zip嫌疑人： 义言 ： 手机（pixel.zip、 计算机（memdump.mem、PC.001伏季雅：手机（Samsung.zip、计算机 PC.e01毛雪柳：手机 iPhoneXR.zip、计算机（memdump.mem、PC.e01服务器：内部IM：IM.dd、网站：web.dda2238346317@gmail.comFA6A

把mysql文件夹导出直接用火眼的数据库取证工具解析root 用户最后一次修改密码的时间直接看mysql数据库中user表要排序的题在火眼数据库取证工具中看着不太方便，直接在工具中将数据库运行在本地，并用navicat连接game数据库中的announcement_detail表，create_time降序排列在app界面中显示是08-02 03:54，需要找数据库。

常见的诈骗话术2023给的检材里面没有通话记录，电脑里有个手机备份，设置了备份密码，查看下Manifest.plist（2021年美亚杯个人赛第30题考过这个文件），确实加密了万达广场(南沙店)不能确定HotsCoin是数字交易app，有师傅写这个读取时间的2023-12-04 13:28:19西电的师傅说是这个还是不能确定的ios备份密码忘了怎么办 五位纯数字龙信能跑出来，弘连跑不出来，这个内容提示备份密码是5位纯数字。

查看mysql数据库user表。

5万华哥。

2023年9月，某公安机关指挥中心接受害人报案:通过即时通讯工具添加认识一位叫“周微”的女人，两人谈论甚欢，确定网上恋爱关系，后邀约裸聊，受害人上钩后，“周微”和受害人进行裸聊，整个过程被涉诈团伙录音录像。同时周倩以自己做直播“涨粉”为由，引导受害人下载其事先制作好的木马APP，受害人安装该APP后，嫌疑人利用录制的视频和受害人的通讯录做要挟，从而实施诈骗。

从00401350开始，F8一行一行进行调试，运行到00401362，一部分二维码打印出来，调试到中括号最下面即可停止，并且在下一个中括号开始重复操作，设置此处为新EIP-F8调试。分析exe文件，用ida打开，找到主函数main，分析主函数可以发现，main在判断之后调用了l02等函数。以此类推，l04函数在00401365，F8运行到00401377打印，直至打印完全。开始找l02函数，左侧双击l02，跳转至00401350，这里是开始的位置。之前一直卡，好不容易搞懂一点，记下来记下来。

以管理员权限运行cmd。

狂神无双下面的都是网址，只有这条是com.zhjhsy.ksws04.ucbiao在技术人员的雷电手机模拟器中找到了这个包名叫狂神无双。

跑出来了John电脑对应的密码是paofen，NAS的密码是P@88w0rd。找到Windows/System32/config并在本地打开。适用于不联网的情况下，例如2023盘古石杯的NAS取证。将路径填充到config folder中。

eg第四行的：fileID=ed760fe4ac85871e0b40368327e2bb483d23cc1e，domain=SysContainerDomain-com.apple.lskdd，relativePath=Library/Preferences。用navicat连接Manifest.db，查看Files表，fileID=SHA1（domain-relativePath）在iphone备份文件夹中，先找到ce文件夹，在里面可以找到fileID对应的文件。复制出来，改后缀名为jpg，文件出来了。

后面再给你们搞找potato的数据库，在data里面找到应用对应的数据库文件，盘古石直接导出的db居然是空的把坚果解压后在文件夹里面找，navicat查看，这个里面的数据存在把内容保存出来，全部base64解密a=open('C:\\Users\\五五六六\\Desktop\\1.txt', 'r', encoding='UTF-8')b=open('C:\\Users\\五五六六\\Desktop\\12.txt', 'w', encoding='UTF-8')a.close()

下载压缩包后解压，直接在该文件路径下cmd，输入upx.exe -h安装完成，使用命令“upx -d +文件路径”进行脱壳。die查壳发现是UPX壳，直接用ida分析，会发现能分析出来的信息特别少，需要脱壳。脱壳成功，之后再次分析，数据就出来了。

查看adb 连接设备offline 表示设备未连接成功或无响应，device 设备已连接未连接就使用举个栗子。

DetectltEasy、PeiD查壳。

当前登录用户这个键值在关机后会被删除掉U盘序列号Disk：说明该设备是一个USB存储介质设备，而不是不可存储的设备Ven厂商：后面的WD就是西部数据Prod产品型号：Elements_SE_2623Rev版本：1034序列号：子健的键值，&0前面的数值键值有GUID。

VolatilityWorkbench：Volatility可视化工具。第一行Image file：Browse Image选择镜像。缺点：在单独寻找某个进程、文件等时，无法搜索，非常难受。pslist命令还可以单独选择某一个exe分析其进程。第二行Platform：解析操作系统类型后能选择。加载完成之后选择第三行的命令，然后run。优点：速度很快，不用输入命令，一目了然。

Retrieving Darwin tools from: http://softwareupdate.vmware.com/cds/vmw-desktop/fusion/11.5.5/16269456/packages/com.vmware.fusion.tools.darwin.zip.tar Link didn't work, trying another one...

A投送的照片在本机上是IMG_4913.HEIC，时间是2022.11.17 22：55，B收到照片在本机上是IMG_4913.HEIC，时间也是2022.11.17 22：55，B本机拍摄的照片数字是连贯的，投送的这张照片和之前的照片名字上的数字不连贯， 并且时间不连续。(不要输入符号及空白，以大写英文及阿拉伯数字回答)(1分)55、[填空题]虚拟机 (VM) 安装了 Docker 程序，列出一个以'5'作为开端的 'Docker' 镜像 (Image) ID (以阿拉伯数字及大写英文回答) (2分)

容器加挂密码：2022.4th.changancup!

百度发现，系统安装时间在SOFTWARE\Microsoft\Windows NT\CurrentVersion中，没有找到，在Windows Installation 系统信息中找到了安装时间2019/10/31 4:56:45，最后一行就是计算机名称，B正确。这个过程是一个Windows驱动程序，它是一个很小的软件程序，40 、在何源的个人计算机中，何源 iPhone 手机中的一些图片曾被同步到他的百度网盘中，请问图片“2019-06-21 113537.jpg”的 MD5 hash 值是多少？

检材一案情简介 在一起电诈案件中，受害者称自己的银行卡被他人冒用，曾收到假冒公安的短信，因为自己在一个 P2P 网站中理财，假冒公安称该网站已被列外非法网站，要自己到公安备案网站填写自己的信息，并帮助自己追回本金，因此信以为真，在网站上填写了自己的信息和绑定的银行卡信息；办案机关推测嫌疑人可能是获取了 P2P 网站中的注册用户信息，从而进行定向诈骗，因此调取了 P2P 理财网站的服务器，现委派你对该服务器进行电子数据取证。你获得该 P2P 理财网站服务器硬盘镜像文

第三步，找到登录的后台网址、用户名和密码，可以直接找（config或者data里面的配置文件）、修改数据库中存储的用户信息（分析网站对密码的加密过程）或者在源代码中修改提示用户名或密码的弹窗，让其弹出密码加密后的密文。），保证虚拟机和主机都在统一网段中，并相互能ping通，ASP.NET State服务是开启的。第一步，先配置网关（虚拟机网卡、虚拟机的虚拟网络编辑器和主机的VMnet8。一般来说，服务器在一个镜像里，数据库在一个镜像里。第二步，连接数据库（navicat）卡了好久终于会了呜呜呜。

参考博客，官方wp。

加密的文档中还有我天.docx和新建文本文档.txt，新建文本文档.txt20MB大的很奇怪，猜测是被truecrypt加密的对象，改后缀为.hc，用取证大师加载后解密，密钥来自工具集-内存镜像取证工具，在1.dmp中能搜到truecrypt密钥。据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。[答案格式：flag{abCd1234}][答案格式：asd.xda.asd.ca]

Individual的veracrypt密码案件背景2021年10月某日早上，本市一个名为“大路建设”的高速公路工地主管发现办公室的计算机被加密并无法开启，其后收到了勒索通知。考虑到高速公路的基建安全，主管决定报警。警方调查人员到达现场取证，发现办公室内有三部个人计算机，通过一个老款路由器接入互联网。经调查相关电子证据后，警方怀疑一位本地男子–阿力士与本案有关，并将他拘捕。现在你被委派处理这起案件,请由以下资料分析阿力士在本案中的违法犯罪行为,并还原事件经过。...

veracrypt密码：uR%{)Y'Qz-n3oGU`ZJo@(1ntxp8U1+bW;案件背景：几天后，“大路建设”旗下有一家名为“元材原料”的材料供应子公司，该公司发现几名员工的个人财务资料在网上遭公开发布。为了员工安全，主管决定报警求助。经警方调查发现黑客入侵的手法与“大路建设”的案件十分相似，因此引起调查人员怀疑两起案件有所关联。经调查后，警方拘捕了“常威”和“特普”两名本地男子，怀疑他们与本案有关。........................

个人赛veracrypt密码团队赛veracrypt密码FvIDu!WZvamS!案件背景2020年9月，数名信用卡持有人向警方报案，称他们的信用卡被不知名人士在一家本地网上商店购买手机。订单大部分来自海外的网络地址，但有一宗订单来自本地。警方经调查后发现该本地网络地址的注册地址。上门后在该处发现陈慧贤，她否认与案件有关。警方在现场扣押一部笔记本计算机、一部手机及一个USB存储设备。在场的初步应变小队在扣押证物前，曾为现场环境及证物拍照。另外,.........

团队赛veracrypt密码FvIDu!WZvamS!案件背景你的电子数据取证调查结果发现一个国际黑客组织牵涉这宗案件。经深入调查后，调查队伍相信该黑客组织入侵了一个名为Zello的本地网上商店官网，黑客组织也针对另一家网上商店Xeno发动网络攻击，使其系统产生故障。调查期间发现三名男子张伟华、冯启礼及罗俊杰疑与该案有关。警方在搜查他们的住宅及公司后扣押了数十台电子设备。请分析电子数据证据并重建入侵痕迹。1.编号详情档案路径1Zello服务器的镜像文件编号详情档案路径1编号。................

编辑类，把“用户名或密码错误”改为text2，输入密码后就会弹窗加密后的密码，直接把密文放进数据库中，把修改后App_Web_dllogin.aspx.7d7c2f33.dll覆盖检材三原网站中的文件，重启服务和sql1容器，就行了（我的虚拟机不知道为什么VMware Tools就是安装不上，覆盖都没办法）37、检材3中，请对网站代码进行分析，网站登录过程中，代码中调用的动态扩展库文件的完整名称为(答案格式:“abc.html.ABC”区分大小写，半角符号，包含扩展名)

2021年4月25日，上午8点左右，警方接到被害人金某报案，声称自己被敲诈数万元。在虚拟机里搜索郭先生，发现只找到最近浏览里面生成的快捷方式，属性里面显示都是在X盘，桌面上还有veracrypt，最近浏览里面还有一个key.rar，结合49题的容器文件，得出结论，小白鼠是容器，key.rar是密钥文件，加挂即可。通过对检材二和三进行分析，警方通过IP落地，警方掌成功抓获犯罪嫌疑人，现将嫌疑人的PC机和手机进行了取证，分别制作了镜像，请使用第13题的答案对检材四进行解密，并回答下列问题。......

6-8}0x400x060x?{18}0x5a0x0c0x00{2}What'srick'scharacter'sname?答案使用-连接加上NSSCTF{}格式提交，例如游戏名为test，IP为127.0.0.1，提交NSSCTF{test-127.0.0.1}答案使用-连接加上NSSCTF{}格式提交，例如PC名为test，IP为127.0.0.1，提交NSSCTF{test-127.0.0.1}{18}0x5a0x0c0x00{2}，Rick的角色叫什么？......

1、SID 安全标识符 SecurityIdentifier 是标识用户、组和计算机帐户的唯一的号码 查看自己的SID，win+R，输入whoami /userS-1-5-21-xxxxxxxxxx-xxxxxxxxxx-xxxxxxxxx-xxxx挺长的还，最后一位是RID应用调用SID有其用户eg.请找出登录系统中的用户的SID号，就是下面这个喽2、.dd内存镜像取证时，用volatility和美亚-工具集-内存镜像解析工具volatility.