盘古石杯电子取证比赛WP

这篇具有很好参考价值的文章主要介绍了盘古石杯电子取证比赛WP。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

“盘古石杯”电子取证比赛WP

写在前面

刚刚比完了比赛,觉得自己还有很多东西没做过,现在趁着写WP的时候顺便复盘一下,望各位大佬指正。

2023年5月4日中午收到短信通知告诉我可以下检材了,但是一看到300G的大小,得益于百度网盘那稳定于2G时代的网速,告诉我什么叫做绝望,直到比赛的前一个小时才下完的检材。。。。
下载链接扔出来了,氪金大佬可以赶紧下载:https://pan.baidu.com/s/1bcEDEeh3A1RnHAhjmmZOZQ?pwd=vdy6
下载之后肯定就是VeraCrypt容器了,密码:
usy1UN2Mmgram&^d?0E5r9myrk!cmJGr

Android程序分析

1.涉案应用刷刷樂的签名序列号是
盘古石杯电子取证比赛WP

得出0x11fcf899

2.涉案应用刷刷樂是否包含读取短信权限

用静态权限看一下就知道没有
盘古石杯电子取证比赛WP

3.涉案应用刷刷樂打包封装的调证ID值是

盘古石杯电子取证比赛WP

4.涉案应用刷刷樂服务器地址域名是vip.shuadan.com
盘古石杯电子取证比赛WP

5.涉案应用刷刷樂是否存在录音行为
仿真了监控一下,没有
6.涉案应用未来资产的包名是plus.H5CE4B30D
盘古石杯电子取证比赛WP

7.涉案应用未来资产的语音识别服务的调证key值是53feacdd

盘古石杯电子取证比赛WP

8.涉案应用未来资产的服务器地址域名是
直接装进模拟器看一下就知道是vip.usdtre.club
盘古石杯电子取证比赛WP

9.涉案应用未来资产的打包封装的调证ID值是是H5CE4B30D
盘古石杯电子取证比赛WP

移动智能终端取证
1.根据容恨寒的安卓手机分析,手机的蓝牙物理地址是(答案格式:B9:8B:35:8B:03:52)
答案A9:8B:34:8B:04:50

盘古石杯电子取证比赛WP

2.根据容恨寒的安卓手机分析,SIM卡的ICCID是(答案格式:80891103212348510720)
盘古石杯电子取证比赛WP

答案89014103211118510720
3.根据容恨寒的安卓手机分析,团队内部沟通的聊天工具程序名称是(答案格式:微信)

首先打开应用列表,在这个时候我觉得这个检材是模拟器不是真机,因为还在里面发现了雷电服务和雷电键盘,在应用列表里面看到的即时通讯应该只有两个,微信和Potato。
盘古石杯电子取证比赛WP

4.根据容恨寒的安卓手机分析,团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式:好的)

5.根据容恨寒的安卓手机分析,收到的刷单.rar的MD5值是(答案格式:
202cb962ac59075b964b07152d234b70)
首先搜索刷单.rar,之后就会显示有两个

盘古石杯电子取证比赛WP
然后到文件目录

盘古石杯电子取证比赛WP

导出来之后算MD5哈希就好
盘古石杯电子取证比赛WP
6.根据容恨寒的安卓手机分析,收到的刷单.rar的解压密码是(答案格式:abcdg@1234@hd)
这个东西在比赛的时候没有找到,在之后和大佬交流之后才发现在上面的数据库里面,表名叫BAProvider$g
密码规则: 前五位:wlzhg 末尾两位:片区简写“xn” 中间四位:0-9随机数组合 各部分用@连接 示例:wlzhg@8888@xn
盘古石杯电子取证比赛WP因为手里其他的工具也没有,就用Python将就写一下

import rarfile

rar = rarfile.RarFile("刷单.rar")

for i in range(1000,9999):
    password = 'wlzhg@' + str(i) + '@xn'
    try:
        rar.extractall(pwd=password)
        print(password)
    except:
        continue

*7.根据容恨寒的安卓手机分析,发送刷单.rar的用户的手机号是(答案格式:15137321234)
要做这题,首先要看到BAProvider$bBAProvider$j 这两张表,解base64就可以了。下题同理。
*8.根据容恨寒的安卓手机分析,发送多个报表的用户来自哪个部门(答案格式:理财部)
9.根据容恨寒的安卓手机分析,MAC的开机密码是(答案格式:asdcz)
盘古石杯电子取证比赛WP
备忘录记事本里面可以直接看到的,mac开机密码apple

10.根据容恨寒的安卓手机分析,苹果手机的备份密码前4位是(答案格式:1234)
盘古石杯电子取证比赛WP
还是和上题一样的图,备份密码前四位1976
11.根据魏文茵苹果手机分析,IMEI号是?(答案格式:239471000325479)
盘古石杯电子取证比赛WP
右下角可以直接看到358360063200634

12.根据魏文茵苹果手机分析,可能使用过的电话号码不包括?(答案格式:13527821339)
这一题是选择题A:18043618705 B:19212175391 C:19212159177 D:18200532661
因为是选择题,这里就选择用排除法解决了。
盘古石杯电子取证比赛WP
盘古石杯电子取证比赛WP

还有一点奇怪的地方,简单方法就是打开两个检材,ABC选项都存在,就只剩下D了
13.根据臧觅风的安卓手机分析,微信ID是(答案格式:wxid_av7b3jbaaht123)
盘古石杯电子取证比赛WP
直接打开看微信的分析结果,wxid_kr7b3jbooht322

14.根据臧觅风的安卓手机分析,在哪里使用过交友软件(答案格式:杭州)(★★★☆☆)盘古石杯电子取证比赛WP
探探、摸摸、Telegram都尝试看了一下,就直接看到中国西安未央

15.根据臧觅风的安卓手机分析,嫌疑人从哪个用户购买的源码,请给出出售源码方的账号(答案格式1234524229)
先用源码作为关键词搜索,可以得到就在Telegram里面,看见和两个用户的聊天记录
盘古石杯电子取证比赛WP
其中一个是购买IM系统的源码,另一个是刷单的源码,IM系统那个没有看到付款,就只剩下刷单的那个源码了。对方账号5768224669
盘古石杯电子取证比赛WP

16.根据臧觅风的安卓手机分析,购买源码花了多少BTC?(答案格式:1.21)
和上一道题目同一张图,0.08BTC。
17.根据臧觅风的安卓手机分析,接收源码的邮箱是(答案格式:asdasd666@hotmail.com)
在下面的聊天记录当中显示molihuacha007@hotmail.com
盘古石杯电子取证比赛WP
18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)
容恨寒的苹果手机就是在macOS电脑里面的备份,在backup文件夹下盘古石杯电子取证比赛WP
将它导出并放入取证分析软件,注意备份密码是19760908
盘古石杯电子取证比赛WP
将其作为iTunes备份导入,用手机取证打开,IMEI就是353271073008914
盘古石杯电子取证比赛WP

19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01)
盘古石杯电子取证比赛WP
最后备份时间也可以直接看到2023/4/12 21:20:59
20.嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?(答案格式:2000-01-01)(★★★★☆)
21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)(★☆☆☆☆)
盘古石杯电子取证比赛WP
直接看到微信的ID就是wxid_peshwv0rosih12

计算机取证
1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)
仿真,直接看到设置->关于部分Windows10 10 Professional 1607
盘古石杯电子取证比赛WP

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)
在默认应用里面可以看到,
盘古石杯电子取证比赛WP
3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)
这道题是选择题 A:掠夺攻略.docx B:工资表.xlsx C:刷单秘籍.docx
D:脚本.docx
仿真,打开快速访问,B,C都能看到,D选项之后会讲的,A选项搜索不到。
盘古石杯电子取证比赛WP

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)
取证软件里面就看到一个
5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))
直接看桌面上就有TrueCrypt。
盘古石杯电子取证比赛WP

6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?(答案格式:C:\xxx\xxx)
盘古石杯电子取证比赛WP
就在加密容器文件里面看到C:/Users/WH/Documents/《穿越六十年代小知青》作者:平淡生活.txt
7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?(答案格式: 000000-000000-000000-
000000-000000-000000-000000-000000)
直接在原始检材里面搜索恢复密钥,得到结果
还有一种方法,因为它是6位数字和横杠的重复,所以可以用正则表达式去匹配。表达式如下:
\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}-\d{6}
搜索得到最终答案000649-583407-395868-441210-589776-038698-479083-651618
8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)
盘古石杯电子取证比赛WP
解锁bitlocker,文档当中有目录总共有38条。

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)(★★☆☆☆)
10.通过对嫌疑人魏文茵计算机内存分析,print.exe的PID是?(答案格式:123)
直接用vol分析,vol -f .\memdump.mem --profile=Win10x64_10586 pslist print.exe的PID就是728
盘古石杯电子取证比赛WP

11.根据臧觅风的计算机分析,请给出技术人员计算机“zang.E01”的SHA-1?(答案格
式:7B2DC1741AE00D7776F64064CDA321037563A769)
在盘古石取证软件里面直接看到239f39e353358584691790dda5ff49baa07cfdbb
盘古石杯电子取证比赛WP

12.根据臧觅风的计算机分析,请给出该技术人员计算机“zang.E01”的总扇区数?(答案格
式:100,000,000)
和上题一张图,536870911+1=536870912
13.根据臧觅风的计算机分析,以下那个文件不是技术人员通过浏览器下载的?(答案格式:A)
A.WeChatSetup.exe
B.aDrive.exe
C.Potato_Desktop2.37.zip
D.BaiduNetdisk_7.27.0.5.exe
仿真变成虚拟机,打开Google Chrome查看下载内容
盘古石杯电子取证比赛WP
盘古石杯电子取证比赛WP
盘古石杯电子取证比赛WP

除了百度云盘的安装文件,剩下的都可以找到

14.根据臧觅风的计算机分析,请给出该技术人员邮件附件“好东西.zip”解压密码?(答案格式:abc123)
(★★★★★)
15.根据臧觅风的计算机分析,该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,
请给出连接的端口号?(答案格式:22)
仿真之后,看到桌面上的远程管理工具SecureCRT,打开全局设置
盘古石杯电子取证比赛WP
打开目录,往下就能看见Knownhosts,在里面可以看到很多服务器的配置信息master.k8s.com的端口号就是2282
盘古石杯电子取证比赛WP

16.根据臧觅风的计算机分析,接上题,请给出服务器的密码?(答案格式:password)
在计算机里面可以用账号信息作为关键词搜索,得到结果P@ssword
盘古石杯电子取证比赛WP

17.根据臧觅风的计算机分析,据该技术人员交代,其电脑内有个保存各种密码的txt文件,请找出该文
件,计算其MD5值?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)
在里面用passwords等关键词搜索,在计算机里面找到passwords.txt
盘古石杯电子取证比赛WP
MD5:c1934045c3348ea1ba618279aac38c67
18.根据臧觅风的计算机分析,该技术人员曾使用过加密容器反取证技术,请给出该容器挂载的盘符?
(答案格式:A)
19.根据臧觅风的计算机分析,请给出该技术人员电脑内keePass的Master Password?(答案格
式:password12#)(★★★★☆)
20.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)
21.根据臧觅风的计算机分析,请给出该技术人员所使用的爬虫工具名称?(答案格式:xxx)(★★☆☆☆)
22.根据臧觅风的计算机分析,以下那个不是该技术人员通过爬虫工具采集的数据?(答案格式:A)
(★☆☆☆☆)
A.中国证券投资基金业协人员信息
B.仓山区市场监督管理局行政执法人员信息
C.清平镇卫生院基本公共卫生服务
D.仓山区市场监督管理局行政执法人员信息
23.根据臧觅风的计算机分析,该嫌疑人曾浏览过“阿里云WebDAV”,请给出该“阿里云WebDAV”端口
号?(答案格式:2211)(★★☆☆☆)
24.根据臧觅风的计算机分析,请给出该技术人员电脑内代理软件所使用的端口号?(答案格式:2211)
(★★☆☆☆)
25.根据臧觅风的计算机分析,接上题,请给出该代理软件内订阅链接的token?(答案格
式:abc1234df334…)(★★☆☆☆)
26.根据臧觅风的计算机分析,请给出该技术人员电脑内用于内部通联工具的地址和端口?(答案格式:ww
w.baidu.com:1122)(★★★☆☆)
27.根据臧觅风的计算机分析,请给出该电脑内存镜像创建的时间(北京时间)?(答案格式:2023-05-06
14:00:00)(★☆☆☆☆)
28.根据臧觅风的计算机分析,以下那个不是“chrone.exe”的动态链接库?(答案格式:A)(★★★★☆)
A.ntdll.dll
B.iertutil.dll
C.wow64cpu.dll
D.wow64win.dll
29.根据臧觅风的计算机分析,请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多
少?(答案格式:0xxxxx123…)(★★☆☆☆)
30.根据臧觅风的计算机分析,据嫌疑人交代,其电脑上曾存打开过一个名为“账号信息.docx”的文档,请
给出该文档的最后访问时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★★☆)
31.根据臧觅风的计算机分析,接上题,请给出该文档的存储路径?(答案格式:C:\xxx\xxx)(★★★☆☆)
32.嫌疑人容恨寒苹果电脑的系统版本名称是?(答案格式:注意大小写)
盘古石杯电子取证比赛WP
直接看到苹果电脑系统版本macOS 12.6
33.嫌疑人容恨寒苹果电脑操作系统安装日期是?(答案格式:2000-01-01)
先试试仿真,开机密码apple,在之前的安卓手机的备忘录里面有的,然后在系统信息里面找到安装时间 安装时间2022-10-09
盘古石杯电子取证比赛WP
34.嫌疑人容恨寒苹果电脑的内核版本是?(答案格式:xxxxx 11.0.4,注意大小写)(★☆☆☆☆)
35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?(答案格式:20)(★★☆☆☆)
36.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?(答案格式:2000-01-01 01:00:09)(★★☆☆☆)
37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?(答案格式:20)(★★★☆☆)
38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?(答案格式:20)(★★★★☆)
39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?(答案格式:8小时)(★★★★☆)
40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?(答案格式:xxx@xxx.xx)(★★★★☆)
41.通过分析得出嫌疑人容恨寒小孩的年龄是?(答案格式:10岁)(★★★☆☆)

二进制文件分析
1.根据魏文茵的计算机分析,恶意程序加了什么类型的壳(答案:asdcz)(★★☆☆☆)
2.根据魏文茵的计算机分析,恶意程序调用了几个dll(答案:1)(★★★☆☆)
3.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用(答案:1)(★★★☆☆)
4.根据魏文茵的计算机分析,恶意程序远控端ip(答案:120.1.2.3)(★★☆☆☆)
5.根据魏文茵的计算机分析,恶意程序远控端端口(答案:123)(★★☆☆☆)
6.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp(★★★☆☆)
A.tcp
B.udp
7.根据魏文茵的计算机分析,恶意程序能执行几条命令(答案:123)(★★★★☆)
8.根据魏文茵的计算机分析,恶意程序加密电脑文件对应是哪个命令(答案:1a)(★★★☆☆)
9.(多选题)根据魏文茵的计算机分析,恶意程序加密哪些后缀文件(★★★☆☆)
A.docx
B.xlsx
C.pdf
D.doc
10.根据魏文茵的计算机分析,编写该程序电脑的用户名是(答案:12345)(★★★★★)
11.嫌疑人魏文茵计算机中“工资表.xlsx”中,发放工资总金额为:(答案格式:12345))(★★★★★)

暗网取证
1.臧觅风电脑使用暗网浏览器版本是?(答案格式:10.0.0)(★☆☆☆☆)
2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是?(答案格式:制作)(★★☆☆☆)
3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是?(答案格式:2000-01-01 01:00:09)
(★★★★☆)
4.臧觅风电脑使用的暗网浏览器第一次使用时间是?(答案格式:2000-01-01 01:00:09)(★★★☆☆)
5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是?(答案格式:字母小写)(★★★★★)

物联取证
1.请给出该软路由管理的IP地址?(答案格式:192.168.1.1)(★☆☆☆☆)
2.请给出该软路由管理员的密码?(答案格式:admin123!@#)(★★★☆☆)
3.请给出阿里云WebDAV的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)
4.请给出该软路由所用机场订阅的token?(答案格式:bac123sasdew3212…)(★★☆☆☆)
5.请给出该软路由数据卷的UUID?(答案格式:8adn28hd-00c0c0c0…)(★★☆☆☆)
6.请给出该软路由的共享路径?(答案格式:/home/data)(★★☆☆☆)

服务器取证
1.请给出IM服务器的当前Build版本?(答案格式:11111)(★☆☆☆☆)
2.请给出IM聊天服务的启动密码?(答案格式:3w.Baidu.com)(★★★★★)
3.请给出该聊天服务器所用的PHP版本?(答案格式:7.2.5)(★★★★☆)
4.请给出该服务器所用的数据库类型及版本?(答案格式:mysql 5.7.1)(★★★★★)
5.请给出该服务器MySQL数据库root账号的密码?(答案格式:3w.baidu.com)(★★★★★)
6.请给该IM服务器内当前企业所使用的数据库?(答案格式:admin_admin)(★★★★☆)
7.请给出该组织“usdtreclub”内共有多少个部门(不含分区)?(答案格式:1)(★★★☆☆)
8.客户端消息传输采用哪种加密形式?(答案格式:A)(★★☆☆☆)
A.AES128
B.AES256
C.DES
D.Base64
9.以下那个不是此系统提供的应用?(答案格式:A)(★★☆☆☆)
A.云盘
B.审批
C.会议
D.考勤
10.请给出“ 2023-04-11 21:48:14”登录成功此系统的用户设备MAC地址?(答案格式:08-AA-33-DF-1A)
(★★★☆☆)
11.请给出用户“卢正文”的手机号码?(答案格式:13888888888)(★★★★☆)

集群服务器取证
1.请给出集群master节点的内核版本?(答案格式:2.6.0-104.e11.x86_64)(★☆☆☆☆)
2.请给出该集群的pod网络?(答案格式:192.168.0.0/24)(★★★★☆)
3.请给出该集群所用的网络插件?(答案格式:abcd)(★★☆☆☆)
4.默认ns除外,本集群共有多少个ns?(答案格式:1)(★★★☆☆)
5.请给出该集群的集群IP?(答案格式:192.168.0.0)(★★☆☆☆)
6.请给出该ns为“licai”svc为“php-svc”的访问类型?(答案格式:Abc)(★★☆☆☆)
7.请给出ns为“shuadan”下的的PHP版本?(答案格式:1.1)(★★★★★)
8.请给出本机集群所使用的私有仓库地址?(答案格式:192.168.0.0)(★★★★☆)
9.接上题,请给出登录该私有仓库所用的token?(答案格式:bae213ionada21…)(★★★★★)
10.请给出“licaisite”持久化存储的大小?(答案格式:10G)(★★☆☆☆)
11.接上题,请给出对应的存储持久化声明名称?(答案格式:abc-abc)(★★★☆☆)
12.请给出集群内部署网站所使用数据库的IP地址和端口号?(答案格式:192.168.0.0:8080)(★★★☆☆)
13.请给出网站“vip.kefu.com”所使用的端口号?(答案格式:8080)(★★☆☆☆)
14.请给出网站“vip.shuadan.com”连接数据库所使用的账号和密码?(答案格式root/password)
(★★★★★)
15.请给出调证数据库的版本号?(答案格式5.7.1)(★★★★★)
16.请给出刷单网站客服域名?(答案格式:http://www.baidu.com:8080/login.html)(★★★★★)
17.请给出理财客服系统用户“admin”共有多少个会话窗口?(答案格式:123)(★★★★★)
18.刷单客服是嵌套在刷单源码下那个文件内,请给出该文件在网站源码内的目录和文件名?(答案格
式:www.baidu.com:8080/login.html)(★★★★★)
19.请统计出刷单网站后台累计提现成功的金额?(答案格式:1000)(★☆☆☆☆)
20.请给出受害人上级的电话号码?(答案格式:13888888888)(★★★☆☆)
21.请给出刷单网站受害人加款的时间(北京时间)?(答案格式:2023-05-06 14:00:00)(★★★☆☆)
22.该理财网站曾经被挂马,请给出上传木马者的IP?(答案格式:192.168.10.10)(★★★☆☆)
23.接上题,请找到此木马,计算该木马的md5?(答案格式:123dadgadad332…)(★★★☆☆)
24.请统计该投资理财平台累计交易额为多少亿?(答案格式:1.8)(★★☆☆☆)
25.请给出该虚拟币投资平台内用户“李国斌”的银行卡号?(答案格式:622222222222222)(★★★☆☆)
26.分析该虚拟币投资平台财务明细表,用户“13912345678”共支出多少钱(cnc), 结果保留两位小数?
(答案格式:10000.00)文章来源地址https://www.toymoban.com/news/detail-469774.html

到了这里,关于盘古石杯电子取证比赛WP的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 2017第三届美亚杯全国电子数据取证大赛个人赛wp

                                                                   话不多说,案情👇          Gary是一位经常用手提电脑的人,而且热爱足球运动,常常看足球网站。他于2007年9月开始想赚快钱,思想变得偏激,并关注一些违法的事。于是Gary就想着赌博,查阅军事

    2024年02月07日
    浏览(62)
  • OtterCTF—内存取证wp

    目录 前言 一、工具说明 二、题目解析 1.What the password? 2.General Info 3.Play Time 4.Name Game 5.Name Game 2 6.Silly Rick 7.Hide And Seek 8.Path To Glory 9.Path To Glory 2 10.Bit 4 Bit 11.Graphic\\\'s For The Weak 12.Recovery 13.Closure 总结 前几天有幸参加了本市的选拔赛,其中有内存取证的题,当时就愣住了,考完后

    2024年02月08日
    浏览(42)
  • 2022蓝帽杯初赛取证部分wp(详细)

    前言 本文是2022蓝帽杯初赛取证部分复盘,感觉题目难度适中,因此选择性的记录了做出来的部分。这不是本次比赛完整的WP,如果有需要可以翻一翻其他大师傅的文章 手机取证_12 题目描述: 现对一个苹果手机进行取证,请您对以下问题进行分析解答。 1.627604C2-C586-48C1-AA16

    2023年04月20日
    浏览(37)
  • 【电子取证篇】汽车取证检验标准

    汽车取证鉴定可能涉及的测试/测量方法—【蘇小沐】 GA/T 976-2012《电子数据法庭科学鉴定通用方法》; GA/T 1998-2022《汽车车载电子数据提取技术规范》; GA/T 1999.2-2022《道路交通事故车辆速度鉴定方法 第2部分:基于汽车事件数据记录系统》; GB 39732-2020《汽车事件数据记录系

    2024年02月10日
    浏览(47)
  • 电子数据取证(一)

    电子数据的特点 **1、以数字化形式存在。**所有的电子数据都是基于计算机应用和通信等电子化技术手段形成的,用以表示文字、图形符号、数字、字母等信息的资料。与其他证据种类不同,电子数据在本质上而言是以电子形式存储或者传输的。 **2、具有开放性的特征。**从

    2024年02月13日
    浏览(45)
  • 电子取证工具

    在计算机取证过程中,相应的取证工具必不可少,常见的有Tcpdump、Argus、NFR、Tcpwrapper、Sniffers、Honeypot,Tripwires、Network monitor,镜像工具等。在国外计算机取证过程中比较流行的是镜像工具和专业的取证软件,但很多工具都属于付费软件,很多读者不可能免费拥有它们,但有

    2024年02月15日
    浏览(34)
  • 一文读懂电子数据取证

    科学的运用提取和证明方法,对从电子数据源提取的证据进行保护、收集、验证、鉴定、分析、解释、存档和出示,以有助于进一步的犯罪事件重构或帮助识别某些计划操作无关的非授权性活动。 在网络安全大环境中,信息安全可以看作是解决事前防御问题,电子取证则是解

    2024年02月13日
    浏览(53)
  • GDOUCTD NSSCTF2023广东海洋大学比赛WP RE(上) Tea Check_Your_Luck

    下载文件是cpp 是个解方程的题,用python的z3 打开可执行文件有输出,直接打开ida shift+F12点进去 他提示你,这是假的flag,看看哪个函数引用了它,往上追,就来到了关键的地方 最后一句话提醒了我们这是tea加密 最后v9输出flag。 v6 = sub_140011352(v8); 进去发现是一个返回值为bo

    2023年04月18日
    浏览(36)
  • 2018年第三届 美亚杯电子取证 个人赛题解

    取证直接获取 FC20782C21751BA76B2A93F3A17922D0 E 查看硬盘个数 3个 C LBA开始地址 我们首先确定操作系统分区 可以发现是 E 盘 然后我们开始看物理地址 物理位置:32,213,303,296 除以 512 答案为D 这里就是需要通过扇区x512来计算 答案为E C 这里真不会 看了看 主要是看 磁盘十六进制 第1

    2024年02月06日
    浏览(35)
  • 2023蓝帽杯半决赛电子取证+CTF部分题解

    非预期 先将data.xlsx中到的每一列都按照大小排序 之后将加粗的字体的背景颜色改为黑色

    2024年02月07日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包