2022第四届长安杯电子数据取证竞赛题解报告
原创,作者Xmin
某地警方接到受害人报案称其在某虚拟币交易网站遭遇诈骗,该网站号称使用“USTD币”购买所谓的“HT币”,受害人充值后不但“HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易网站调取了对应的服务器镜像并对案件展开侦查。
1. 检材1的SHA256值为
火眼打开之后计算出希哈值:9E48BB2CAE5C1D93BAF572E3646D2ECD26080B70413DC7DC4131F88289F49E34
2. 分析检材1,搭建该服务器的技术员IP地址是多少?用该地址解压检材2
这个该怎么找,具体有两种办法,但是都是从登录日志来看,首先是把检材1仿真出来然后查看最近的登录日志
last | less
![[图片]](https://img-blog.csdnimg.cn/68010c740b3345c58e6586719ca23ca6.png
登录的ip是172.16.80.100
在一个是使用证据分析软件分析然后分析–>linux基本信息–>登录日志
从里面的摘要里面看到登录的ip是172.16.80.100
Linux日志解析里面也有
3. 检材1中,操作系统发行版本号为
cat /etc/redhat-release
Cntos Linux release 7.5.1804 (Core)
4. 检材1系统中,网卡绑定的静态IP地址为
ifconfig
172.16.80.133
5. 检材1中,网站jar包所存放的目录是(答案为绝对路径,如“/home/honglian/”)
分析–>Linux基本信息–>历史命令
分析历史命令可以得知网站的jar包在/web/app里面
6. 检材1中,监听7000端口的进程对应文件名为
解这道题可以把app里面的jar包都跑起来看看,看看哪个jar包运行之后监听了7000端口
答案是cloud.jar
要分析完五个jar包才得出答案!
7. 检材1中,网站管理后台页面对应的网络端口为(答案填写阿拉伯数字,如“100”)
到这里,我们已经找到网站的jar包了,但是我们没有网站的启动脚本(从历史命令里可以得知他被root删除了),这时候网站的启动需要经过很多调试,操作很复杂,这也是这次长安杯留下的第一个坑。但是进入第二个检材之后就可以在磁盘里找到启动脚本
在检材2仿真的虚拟机中的Google浏览器里面有网站后台的登录页面,端口是9090
再一个,从取证工具里面也能看到管理员后台的端口是9090
8. 检材1中,网站前台页面里给出的APK的下载地址是(答案格式如下:“https://www.forensix.cn/abc/def”)
7·8两个题都需要把网站启动起来
从文件里面发现了一千多张图片文件,我直接搜索了app的文件名,有若干个二维码,其中就有一个叫app_andraio.png的二维码,怀疑这就是apk下载二维码,但是没有找出网址
用手机扫码之后可以知道网址是https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1
另外还可以把二维码down下来,然后从cyberchef解密一下
https://pan.forensix.cn/f/c45ca511c7f2469090ad/?dl=1
9. 检材1中,网站管理后台页面调用的用户表(admin)里的密码字段加密方式为?
对admin-api.jar进行逆向分析,我们在什么都不知道的情况下,有几个思路:一个是先从数据库里面来看,但是要推进到第三个检材之后才能看到这个库,推进到这个库,看到数据库是32位后搜一下md5,看有多少个调用了md5这个值,所以在这可以进行一个search的操作
在这里可以看到对md5key的加密处理,这种办法是在知道关键词之后。
但是在分析过程中就能直接找到好几个题目的答案,包括密码字段的加密方式为md5
10. 分析检材1,网站管理后台登录密码加密算法中所使用的盐值是
XehGyeyrVgOV4P8Uf70REVpIw3iVNwNs
逆向分析得出
11. 检材2中,windows账户Web King的登录密码是
135790
直接用火眼取证打开就能看到密码
12. 检材2中,除检材1以外,还远程连接过哪个IP地址?并用该地址解压检材3
在Xshell的历史命令记录里面,在ssh的历史命令输入里面都能找到
172.16.80.128
13. 检材2中,powershell中输入的最后一条命令是
打开windows powershell 然后按一下上键,,,,,
答案是ipconfig
14. 检材2中,下载的涉案网站源代码文件名为
在Google浏览器的下载记录里面
ZTuoExchange_ famework-master.zip
15. 检材2中,网站管理后台root账号的密码为
可以在火眼里面解析出来
密码是root
16. 检材2中,技术员使用的WSL子系统发行版本是(答案格式如下:windows 10.1)
wsl -l -v
还可以从APPdata/local/packages/canonical
17. 检材2中,运行的数据库服务版本号是(答案格式如下:10.1)
8.0.30
18. 上述数据库debian-sys-maint用户的初始密码是
这个初始密码是什么是会保存在一个配置文件里的在rootfs/etc/mysql里面,可以找到一个diban.cnf,把这个文件导出来就能找到初始密码:ZdQfi7vaXjHZs75M
19. 检材3服务器root账号的密码是
嫌疑人曾经通过远程连接过服务器root账号h123456
20. 检材3中,监听33050端口的程序名(program name)为
首先把docker打开
systemctl start docker
然后
netstat -napt
答案是docker-proxy
21. 除MySQL外,该网站还依赖以下哪种数据库
21.22.24题都可以通过对检材1的逆向得出答案
22. 检材3中,MySQL数据库root账号的密码是
第一种方法是对检材1的逆向
第二种方法是查看镜像的元数据
23. 检材3中,MySQL数据库在容器内部的数据目录为
这是这次考试一个重要的考点,docker-compose的yml文件。从历史记录分析可以得出嫌疑人曾经多次查看这个文件
得知此文件在目录/data/mysql里面,进入查看得知
数据目录为/var/lib/mysql/
24. 涉案网站调用的MySQL数据库名为
对检材1逆向分析得知
SQL数据库名为b1
25. 勒索者在数据库中修改了多少个用户的手机号?(答案填写阿拉伯数字,如“15”)
这个时候找到检材2的D盘,在D盘中可以找到数据库b1,还能看到start.sh 和 start_web.sh两个启动脚本,此时把这两个文件发给负责建服务器的队友。
老师还贴心的放了一个建站笔记
在检材3的后端文件的删改记录里面可以看到一个开头为8eda的log文件,这里面就是数据库的数据修改记录,搜索关键词delet和update,找出修改了手机号的用户和删除的用户。搜索update之后就能找到修改手机号的记录,update b1 member set phone_number··,计数之后出现了五次匹配的结果,一个一个的查看了一下,有两次是更新的登陆时间,所以修改手机号的次数应该是3次!
26. 勒索者在数据库中删除的用户数量为(答案填写阿拉伯数字,如“15”)
在log文件中可以搜索到有批量删除的记录,delete from b1 member··,记数一下有28个
另外,利用数据库分析工具
在检材2中,分析出了数据库b1,但是有两个,选中其中一个然后点数据库分析可以使用工具对数据库进行分析。
so,
用工具打开数据库文件之后,发现了三个表与题目关联度比较大,一个是交易记录,第二一个是用户钱包,第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个,初步怀疑是被删除了。
进一步分析发现id为973-1000的用户被删掉了,当时脑子不管事算成了1000-973=27,提交之后不能改了555😭应该是1000-972=28。白白浪费了十分,,
27. 还原被破坏的数据库,分析除技术员以外,还有哪个IP地址登录过管理后台网站?用该地址解压检材4
在数据库分析工具打开的表格中能找到一个登录日志,除了技术员的ip(通过检材1已知)还有172.16.80.197登录了管理后台的网址。
28. 还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
用工具打开之后直接找到用户钱包的数据,然后找到了id=500的钱包地址
cee631121c2ec9232f3a2f028ad5c89b
29. 还原全部被删改数据,共有多少名用户的会员等级为’LV3’(答案填写阿拉伯数字,如“15”)
通过member_grade这个表了解到等级是三的用户的grade_code=3
但是到用户表之后是mamber_grade_id,这里很难办,于是赌了一把,mamber_grade_id=3等级就是3,然后导出之后筛选出有158人,当时到这里就结束了,完全没有考虑剩下的28个人,,,,于是正确地的出来了这个错误答案。。
正确答案164
30. 还原全部被删改数据,哪些用户ID没有充值记录(答案填写阿拉伯数字,多个ID以逗号分隔,如“15,16,17”)
此题超简单,反而比前面几个简单一些,钱包的表格里直接筛选出了balance等于0的两个人。318,989
31. 还原全部被删改数据,2022年10月17日总计产生多少笔交易记录?(答案填写阿拉伯数字,如“15”)
在交易表格member_transection里面有五千多条交易记录,筛选出10月17日的交易记录一共1000条
在这里有一点,导出数据的时候要选正常数据
否则导出后再筛选会多了(选所有数据),要注意这几个选项的区别,幸好当时是选了仅正常数据,所以得出了是1000,万幸哈哈哈
32. 还原全部被删改数据,该网站中充值的USDT总额为(答案填写阿拉伯数字,如“15”)
直接计算一个总和就可以啦
得出来了40822800,当时以为这个就是答案了,可是又比对了一下,每个后面都带俩零,又看一眼题目问的是USDT总额,又是问的充值的,又去另一个表做了求和
原来真错了,是408228
33. 嫌疑人使用的安卓模拟器软件名称是
解压出来是一个后缀是npbk的文件,百度一下是要用夜神模拟器打开,所以嫌疑人使用的是夜神模拟器。
34. 检材4中,“老板”的阿里云账号是
把npbk文件解压之后出来一个vmdk文件,可以直接用火眼取证工具进行分析,从老板的微信聊天记录里面可以看到老板的阿里云账号是forensixtech1
35. 检材4中安装的VPN工具的软件名称是
在数据分析里面能找到vpn工具v2ryNG,还有节点信息
36. 上述VPN工具中记录的节点IP是
38.68.135.18
37. 检材4中,录屏软件安装时间为
从下载文件夹中找到了录屏软件下载时间
2022-10-19 10:50:05
知道了下载时间从而推理一下安装时间,一定是比下载时间晚,晚几十秒的答案很可能是正确的
38. 上述录屏软件中名为“s_20221019105129”的录像,在模拟器存储中对应的原始文件名为
在软件的数据库文件夹里面找到了相关的录屏软件
0c2f5dd4a9bc6f34873fb3c0ee9b762b98e8c46626410be7191b11710117a12d
39. 上述录屏软件登录的手机号是
在数据库文件夹里找到了record.db和record.db-wal,用db browser打开查看在moblie里面可以找到软件登录的手机号是18645091802
在夜神模拟器种直接恢复手机,然后打开录屏软件,点注销账号能直接看到手机号
40. 检材4中,发送勒索邮件的邮箱地址为
收件箱里有相关的勒索邮件
skterran@163.com
41. 分析加密程序,编译该加密程序使用的语言是
用ida反编译加密程序(在检材2的D盘中找到),查看字符串发现了很多py后缀,确定使用的语言就是python
42. 分析加密程序,它会加密哪些扩展名的文件?
对机密程序进行逆向分析,然后在py文件中能看到加密的扩展名文件类型
逆向脚本下载:https://sourceforge.net/projects/pyinstallerextractor/files/dist/pyinstxtractor.py/download?use_mirror=nchc
在线反编译:https://www.toolnb.com/tools/pyc.html
还有一个方法就是分别找这四种文件来试一下,看看能不能被加密。
43. 分析加密程序,是通过什么算法对文件进行加密的?
逆向分析,使用的是异或加密
44. 分析加密程序,其使用的非对称加密方式公钥后5位为?
u+w==
45. 被加密文档中,FLAG1的值是(FLAG为8位字符串,如“FLAG9:QWERT123”)
同样的方法逆向解密程序后,发现密码没有被加密,所以直接运行输入密码就可以解密文件了
FLAG1的值:FLAG1:TREFWGFS
46. 恶意APK程序的包名为
首先下载这个软件(在前面的网址下载)用雷电APP智能分析查看包名
cn.forensix.changancup
47. APK调用的权限包括
静态权限里面分析得到
48. 解锁第一关所使用的FLAG2值为(FLAG为8位字符串,如需在apk中输入FLAG,请输入完整内容,如输入"FLAG9:QWERT123")
使用雷电APP智能分析脱壳,然后进行jadx反编译
直接搜索flag
可以找到flag2
FLAG2:MATSFRKG
49. 解锁第二关所使用的FLAG3值为(FLAG为8位字符串,如需在apk中输入FLAG,请输入完整内容,如输入"FLAG9:QWERT123")
刚才已经找到了程序的入口函数,找到了mainactivity,然后看看flag2周围的函数
然后有一堆代码,好多个O,然后最终确定OooO0oo是要比对的值,看一下那个地方对这个值进行了定义
找到了flag3的加密后的值,加密有两层
第一层
第二层native函数调用一个so文件对加密值进行解密然后与输入的值进行比较
所以说如果能把这些函数直接调用出来,然后执行一下直接输出,就能得到flag3
要直接调用一个安卓的工程,把代码执行下来,使用工具为Android studio
下载网址;https://developer.android.google.cn/studio/
编写一个程序来输出FLAG3
FLAG3:TDQ2UWP9
50. 解锁第三关所需的KEY值由ASCII可显示字符组成,请请分析获取该KEY值
限制输入24个字符串,然后分成四位一组分成六组数,
无法对intevalue和inter转换,所以到这直接跳到下面的catch,
经过catch后最终得到的这个值就是解密后的密文
在这里的思路是写脚本暴力破解,字典是键盘上能打出来的所有字符,一个一个比对最终解密出密码
还是使用Android studio来破解
最终爆破出key=a_asd./1imc2)dd1234]_+=+
3月26日,映宇宙(HK:03700,即“映客”)发布截至2022年12月31日的2022年度业绩财务报告。财报显示,映宇宙2022年的总营收为63.19亿元,较2021年同期的91.76亿元下降31.1%。2022年,映宇宙的经营亏损为4698.7万元,2021年同期则为净利润4.57亿元;期内亏损(净亏损)为1.68亿元,2021年同期的净利润为4.33亿元;非国际财务报告准则经调整净利润为3.88亿元,2021年同期为4.82亿元,同比下降19.6%。 映宇宙在财报中表示,收入减少主要是由于行业竞争加剧,该集团对旗下产品采取更为谨慎的运营策略以应对市场变化。不过,映宇宙的毛利率则有所提升
如何用IDEA2022创建并初始化一个SpringBoot项目?目录如何用IDEA2022创建并初始化一个SpringBoot项目?0. 环境说明1. 创建SpringBoot项目 2.编写初始化代码0. 环境说明IDEA2022.3.1JDK1.8SpringBoot1. 创建SpringBoot项目 打开IDEA,选择NewProject创建项目。 填写项目名称、项目构建方式、jdk版本,按需要修改项目文件路径等信息。 选择springboot版本以及需要的包,此处只选择了springweb。 此处需特别注意,若你使用的是jdk1
文章目录问题B:芝华士威士忌和他的小猫咪们代码&注释问题C:愿我的弹雨能熄灭你们的痛苦代码注释问题D:猜糖果游戏代码注释问题E:有趣的次方代码注释问题F:这是一个简单题代码&注释问题G:打印矩阵代码注释问题H:scz的简单考验代码注释问题I:完美区间代码&注释问题J:是狂热的小迷妹一枚吖~代码&注释2022年10月23日周赛ZZULIOJ问题B:芝华士威士忌和他的小猫咪们时间限制:1Sec内存限制:128MB题目描述芝华士威士忌很喜欢带着他的猫咪们一块跑着玩。但是小猫咪们很懒,只有在离他y米以内才愿意和他一块跑。这天他在坐标为x的位置,他想和他的猫咪们一块跑着玩。有n个小猫咪,第i个小猫咪在坐
代码请进行一定修改后使用,本代码保证100%通过率,本题目提供了java、python、c++三种代码。复盘思路在文章的最后题目描述祖国西北部有一片大片荒地,其中零星的分布着一些湖泊,保护区,矿区;整体上常年光照良好,但是也有一些地区光照不太好。某电力公司希望在这里建设多个光伏电站,生产清洁能源对每平方公里的土地进行了发电评估,其中不能建设的区域发电量为0kw,可以发电的区域根据光照,地形等给出了每平方公里年发电量x千瓦。我们希望能够找到其中集中的矩形区域建设电站,能够获得良好的收益。输入描述第一行输入为调研的地区长,宽,以及准备建设的电站【长宽相等,为正方形】的边长最低要求的发电量之后每行为
https://cloud.189.cn/t/BJbYreYbmUj2(访问码:djz6)(网盘2022-4-1更新)一、刷入armbian。1.1使用AmlBurnTool软件烧录首选底包至固件。烧录完成后断开玩客云电源备用。(靠近hdmi的那个口子。)1.2使用WIn32diskimager软件将emmc固件写入U盘。1.3写入成功后,先将U盘插入玩客云靠近网线接口端的USB口,再接入电源。玩客云通电后指示灯会先亮绿灯,再亮蓝灯,红蓝闪烁,最后蓝灯常亮。等到确定蓝灯常亮后,再拔掉U盘、电源。(最好蓝灯常亮后,启动一次玩客云,看看ssh是否正常。)1.4使用WIn32diskimager写入
Ai-Bot基于流行的Node.js和JavaScript语言的一款新自动化框架,支持Windows和Android自动化。1、Windowsxpath元素定位算法支持支持Windows应用、.NET、WPF、Qt、Java和Electron客户端程序和ie、edgechrome浏览器2、Android支持原生APP和H5界面,元素定位速度是appium十倍,无线远程自动化操作多台安卓设备3、基于opencv图色算法,支持找图和多点找色,1080*2340全分辨率找图50MS以内4、内置免费OCR人工智能技术,无限制获取图片文字和找字功能。5、框架协议开源,除官方node.jsSDK外,用户可
问题描述小蓝负责一个公司的考勤系统,他每天都需要根据员工刷卡的情况来确定每个员工是否到岗。当员工刷卡时,会在后台留下一条记录,包括刷卡的时间和员工编号,只要在一天中员工刷过一次卡,就认为他到岗了。现在小蓝导出了一天中所有员工的刷卡记录,请将所有到岗员工的员工编号列出。输入格式输入的第一行包含一个正整数n,表示一天中所有员工的刷卡记录的条数。接下来n行,每行包含一条刷卡记录,每条刷卡记录的格式为:HH:MM:SSID其中HH:MM:SS表示刷卡时间,HH为一个0到23之间的两位十进制整数(可能含前导0)表示时,MM为一个0到59之间的两位十进制整数(可能含前导0)表示分,SS为一个0到59之间的
前阵InfoQ社区看到腾讯云腾讯云区块链服务平台(TBaaS)长安链体验活动,一顿操作猛如虎报了个名,体验完用一个字概括:强。非要再加几个字的话,总体感受下来装配模式灵活高效,配套工具完整辩解。话不多说开始主题本文目录结构分为区块链分类和TBaaS平台介绍、TBaaS平台上链教程三个部分一、区块链分类:大体上来说,区块链可分为公链,联盟链,私有链三种:公有链(PublicBlockchain)公有链是指任何人都能参与的区块链。公有链是去中心化程度最高的区块链,不受机构控制,整个账本对所有人公开透明。任何人都能在公有链上查询交易、发送交易、参与记账。加入公有链不需要任何人授权,可以自由加入或者离
2022年山东省职业院校技能大赛高职组“信息安全管理与评估”赛项竞赛规程一、赛项名称赛项名称:信息安全管理与评估英文名称:InformationSecurityManagementandEvaluation赛项组别:高职组赛项归属:电子与信息大类二、竞赛目的(一)引领教学改革通过大赛引领专业教学改革,实现以赛促教、以赛促学、以赛促改的产教结合格局,提升专业培养服务社会和行业发展的能力,为国家信息安全行业培养选拔技术技能型人才。2022年信息安全管理与评估赛项延续历届赛项的竞赛内容,通过赛项检验参赛选手安全网络组建、按照等保要求加固网络系统、安全架构、渗透测试、攻防实战等技术能力,检验参赛队计划
2022年,FinClip团队进行了24个产品迭代,为了丰富FinClip的平台能力,除了核心SDK之外,我们还为开发者们提供了扩展SDK,扩展SDK是一个依赖核心SDK的库,里面提供了核心SDK中所没有的各种小程序API。官方希望通过丰富的扩展SDK库可以帮助开发者减少开发工作,把更多的精力用到实现业务上。那本期,小编就为大家推荐扩展SDK库中8个功能稳定又实用的SDK!(更多详细内容请点击)以下分享以AndroidSDK文件为例,您可登录 资源下载中心下载AndroidSDK文件,扩展SDK也处于在所下载的压缩包中。1、WeChatSDK微信SDK的快捷接入,提供调起微信通过微信小程序获得