2022“美亚杯”第八届中国电子数据取证大赛-团队赛题目本人wechatN34939检材文件下载链接:https://pan.baidu.com/s/1kg8FMeMaj6BIBmuvUZHA3Q?pwd=ngzs提取码:ngzs个人赛与团队赛下载文件解压密码:MeiyaCup2022个人赛解压缩时间:45min左右团队赛解压缩时间:1h20min左右个人赛加密容器解密密钥CZDGm#&2_Ns$7wSMn%ZGr7xntcHS7d5uFta#Up9544jx_cvP$uFM7?pTDa*jN&QyFDLS8U%hx$fXN^BY$Xsj+3@F^y#4QFXb*Uq@wLmkCE7?&Yp+
第一部分案情简介2021年4月25日,上午8点左右,警方接到被害人金某报案,声称自己被敲诈数万元。经询问,昨日金某被嫌疑人诱导裸聊,下载了某“裸聊”软件,导致自己的通讯录和裸聊视频被嫌疑人获取,对其进行敲诈,最终金某不堪重负,选择了报警。警方从金某提供的本人手机中,定向采集到了该“裸聊”软件的安装包—zhibo.apk(检材一)。请对检材一进行分析,获取证据,并根据线索解锁更多检材,深入挖掘出更多与案件有关的信息。(题目中需要通过分析出来的答案对检材二三四五解压,解压密码为IP的情况,需要在密码后增加-CAB2021,例:192.168.100.100-CAB2021)检查哈希值本次题目采用V
😋大家好,我是YAy_17,是一枚爱好网安的小白,自学ing。 本人水平有限,欢迎各位大佬指点,一起学习💗,一起进步⭐️。⭐️此后如竟没有炬火,我便是唯一的光。⭐️最近忙着期末结课,没时间去复盘,等期末结束回来会好好进行复盘;先将个人赛的题目、个人赛的检材文件以及团体赛的检材文件提供给大家进行学习:VC挂载之后的内容如下:资格赛-案件详情于2022年10月,有市民因接获伪冒快递公司的电邮,不慎地于匪徒架设的假网站提供了个人信用卡资料导致经济损失。警方追查下发现当中一名受骗市民男子李大輝(TaiFai)的信用卡曾经被匪徒在区内的商舖购物。后来警方根据IP地址,锁定及拘捕了一名男子林浚熙(阿熙Ch
目录1.Networking2.key3.Telnet_Cmd4.first_contact5.SecretFile6.邮件涉密分析7.smtp_attachment8.online_game网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。可以阅读下文学习一下wireshark基本知识一文精讲Wireshark的抓包和分析_Junior_C的博客-CSDN博客_对wireshark抓包工具的认识以下是题目复现 需要环境可私信1.Networking此题直接选取一个数据包追踪TCP流就能看到flag在追踪流里选择TC
目录1.Networking2.key3.Telnet_Cmd4.first_contact5.SecretFile6.邮件涉密分析7.smtp_attachment8.online_game网络流量分析是指捕捉网络中流动的数据包,并通过查看包内部数据以及进行相关的协议、流量分析、统计等来发现网络运行过程中出现的问题。可以阅读下文学习一下wireshark基本知识一文精讲Wireshark的抓包和分析_Junior_C的博客-CSDN博客_对wireshark抓包工具的认识以下是题目复现 需要环境可私信1.Networking此题直接选取一个数据包追踪TCP流就能看到flag在追踪流里选择TC
目录内存取证-volatility工具的使用一,简介二,安装Volatility1.windows下 2.Linux下(这里kali为例)三、安装插件四,工具介绍help五,命令格式六,常用命令插件❤可以先查看当前内存镜像中的用户printkey-K “SAM\Domains\Account\Users\Names”❤查看用户名密码信息(密码是哈希值,需要john爆破)hashdump❤如果john爆破不出来,就使用lasdmp查看强密码lsadmp❤查看进程pslist❤查看已知进程pslist❤隐藏或解链的进程psscan❤查看服务 查询服务名称svcscan❤查看浏览器历史记录,获取当前
目录内存取证-volatility工具的使用一,简介二,安装Volatility1.windows下 2.Linux下(这里kali为例)三、安装插件四,工具介绍help五,命令格式六,常用命令插件❤可以先查看当前内存镜像中的用户printkey-K “SAM\Domains\Account\Users\Names”❤查看用户名密码信息(密码是哈希值,需要john爆破)hashdump❤如果john爆破不出来,就使用lasdmp查看强密码lsadmp❤查看进程pslist❤查看已知进程pslist❤隐藏或解链的进程psscan❤查看服务 查询服务名称svcscan❤查看浏览器历史记录,获取当前
目录1.从内存文件中获取到用户hacker的密码并且破解密码,将破解后的密码作为Flag值提交;2.获取当前系统的主机名,将主机名作为Flag值提交;3.获取当前系统浏览器搜索过的关键词,作为Flag提交;4.获取当前内存文件的ip地址5.当前系统中存在的挖矿进程,请获取指向的矿池地址,将矿池的IP地址作为.Flag值提交(局域网ip);.6.恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交。7.请将内存文件中的剪贴板内容作为flag值提交;8.从内存文件中获取记事本的内容,并将该内容作为flag值提交;9.从内存文件中获取截图的内容,并将该内容作为flag值提交;10.从内
目录1.从内存文件中获取到用户hacker的密码并且破解密码,将破解后的密码作为Flag值提交;2.获取当前系统的主机名,将主机名作为Flag值提交;3.获取当前系统浏览器搜索过的关键词,作为Flag提交;4.获取当前内存文件的ip地址5.当前系统中存在的挖矿进程,请获取指向的矿池地址,将矿池的IP地址作为.Flag值提交(局域网ip);.6.恶意进程在系统中注册了服务,请将服务名以Flag{服务名}形式提交。7.请将内存文件中的剪贴板内容作为flag值提交;8.从内存文件中获取记事本的内容,并将该内容作为flag值提交;9.从内存文件中获取截图的内容,并将该内容作为flag值提交;10.从内
取证初级案例操作大纲一、证据文件中有没有存在被删除的Doc文档?如果有的话,请导出并记录文件名及路径:操作步骤:1.使用过滤脚本-用类别扩展名过滤-选中办公文档文件-勾选只显示删除的文件-点击OK,如下图所示:2.检索出删除的Doc文档,一共检索出一个DOC文档D1.Doc,如下图所示:3.文件名:D1.Doc,路径:Case1\Test\Deleted\D1.doc,如下图所示:二、证据文件中有没有存在被删除的图片?如果有的话,请记录文件名及路径:操作步骤:1.使用过滤脚本-用类别扩展名过滤-选中图像文件-勾选只显示删除的文件-点击OK,如下图所示:2.检索出删除的图像文件,一共检索出4张图
