1. 1. VR
  2. 2. 计算机
    1. 2.1. 分析贾韦码计算机检材,计算机系统Build版本为?【标准格式:19000】 Analyze Jia Wei Ma(贾韦码)’s computer sample: What is the system Build number? [Answer format: 19000]
    2. 2.2. 计算机最后一次正常关机的时间为?UTC +0【标准格式:2025-05-06 09:00:00】 When was the computer last shut down normally (UTC +0)? [Answer format: 2025-05-06 09:00:00]
    3. 2.3. 计算机网卡的MAC地址为?【标准格式:00-0B-00-A0-00-00】 What is the MAC address of the computer’s network interface card? [Answer format: 00-0B-00-A0-00-00]
    4. 2.4. 计算机用户“贾韦码” 安全标识符SID为?【标准格式:S-X-X-X-X-X-X-X】 What is the SID of user “贾韦码”? [Answer format: S-X-X-X-X-X-X-X]
    5. 2.5. 计算机默认浏览器为?【标准格式:Mozilla Firefox】 What is the default browser on the computer? [Answer example: Mozilla Firefox]
    6. 2.6. 计算机默认浏览器版本为?【标准格式:000.0.0000.00】 What is the version of the default browser? [Answer format: 000.0.0000.00]
    7. 2.7. 机主通过浏览器搜索国外社交软件为?【标准格式:Whatsapp】 What international social app did the owner search for? [Answer example: Whatsapp]
    8. 2.8. 机主的邮箱账号为?【标准格式:pgscup@pgs.com】 What is the owner‘s email account? [Answer format: pgscup@pgs.com]
    9. 2.9. 计算机安装过一款反取证软件为? [答案格式:Encrypt.exe]
    10. 2.10. 计算机通过Xshell远程连接的ip地址为?【标准格式:127.0.0.1】 What IP address did the computer connect to via Xshell? [Answer format: 127.0.0.1]
    11. 2.11. 机主曾买过一个美国的TG账号,请给该账号的原两步验证密码?【标准格式:8位数字】 The owner purchased an US Telegram account. Provide its original two-step verification password. [Answer format: 8 digits]
    12. 2.12. 给出其电脑内加密容器的解密密码?【标准格式:Abc@123】 What is the decryption password for the encrypted container on the computer. [Answer format: Abc@123]
    13. 2.13. 给出其电脑内加密容器挂载的盘符?【标准格式:C】 What drive letter is assigned to the mounted encrypted container? [Answer format: C]
    14. 2.14. 给出其电脑内存放了多少张伪造身份证?【标准格式:10】 How many forged ID cards are stored on the computer? [Answer format: 10]
    15. 2.15. 给出任敏的身份证编号? [答案格式:18位]
    16. 2.16. 找出其电脑内存放的密钥文件,计算其MD5?【标准格式:字母小写】 Find the MD5 hash of the key file stored on the computer. [Answer format: lowercase letters]
    17. 2.17. 找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容?【标准格式:第3届pgscup】 Decrypt the key file stored on the computer and give the content. [Answer format: 第3届pgscup]
    18. 2.18. 对macOS系统进行解析,登陆的电子邮件服务是谁提供的?【标准格式:pgscup】 Analyze the macOS system. Who provides the email service you log in to? [Standard format: pgscup]
    19. 2.19. 系统备忘录的包名是什么?【标准格式:com.dfefef.note】 What is the package name of the system’s Notes app? [Answer format: com.dfefef.note]
    20. 2.20. 图片中隐藏的内容是什么? [答案格式:隐藏内容 刷子戏子痞子]
    21. 2.21. 被加密文件的扩展名是什么?【标准格式:123】 What is the file extension of the encrypted files? [Answer format: 123]
    22. 2.22. 被加密的文件总共有几个? [答案格式:5]
    23. 2.23. 贾韦码家使用的智能门锁品牌型号是什么?【标准格式:小米X号】 What is the brand and model of the smart lock used in Jia Wei Ma(贾韦码)’s home? [Answer example: 小米X号]
  3. 3. mac应用取证
    1. 3.1. 对mac电脑中的加密程序进行分析,使用了一个特定的数作为密钥生成的种子,请问这个数是什么?[标准格式:1234]
    2. 3.2. 分析文件头部元素并确定它们的正确顺序。将字段名称按顺序连接并提交?[标准格式:字段1_字段2_字段3…]
    3. 3.3. 密钥派生过程中使用了几个算法步骤。其中一个函数使用了与其实际功能不符的名称。找出这个函数名并提交?[标准格式:函数名]
    4. 3.4. 程序中实现了一个故意减慢加密过程的机制,延迟值是多少?[标准格式:1.1]
    5. 3.5. 程序中隐藏了一个版本标识符,请找出版本号?[标准格式:v1.1.1]
  4. 4. 手机
    1. 4.1. 分析安卓手机检材,手机的IMSI是? [答案格式:660336842291717]
    2. 4.2. 养鱼诈骗投资1000,五天后收益是?[答案格式:123]
    3. 4.3. 分析苹果手机检材,手机的IDFA是?[答案格式:E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17]
    4. 4.4. Telegram应用的卸载时间是?[答案格式:2023-01-22-17:37:50]
    5. 4.5. 机主hotmail邮箱地址是?[答案格式:123345@hotmail.com]
    6. 4.6. 苹果电脑开机密码是?[答案格式:12345]
    7. 4.7. Telegram加密通讯中,加密聊天信息用到的第二个解密载体是?[答案格式:123.zip]
    8. 4.8. 贾韦码的内部代号是?[答案格式:77]
    9. 4.9. 特快专递的收货地址是?[标准格式:老牛市快速路11号ADE公司]
  5. 5. ## APK取证
    1. 5.1. 分析安卓检材,远控工具包名是?[标准格式:com.app.cpp]
    2. 5.2. 远控工具中继服务器IP是?[标准格式:192.168.11.11]
    3. 5.3. 远控工具ID服务器端口是?[标准格式:8088]
    4. 5.4. 远控工具中继服务器Key是?[标准格式:HoTwGxUuV9OxSSEWRFsr1DVxQBkbbFRe0ImYMTlzyec=]
    5. 5.5. 远控工具中收藏的远程ID是?[标准格式:123456]
    6. 5.6. 远程控制该手机的手机型号是?[标准格式:huawei-Hot]
    7. 5.7. 监听工具包名是?[标准格式:com.app.cpp]
    8. 5.8. 监听工具代码主入口是?[标准格式:com.app.cpp.MainActidddy]
    9. 5.9. 监听工具的签名算法是?[标准格式:AES123RSA ]
    10. 5.10. 监听工具运行多少秒后会跳转成黑色幕布?[标准格式:3.000]
    11. 5.11. 监听工具运行后,黑色幕布上字符串是?[标准格式:aes取证平台]
    12. 5.12. 监听工具检测到多少分贝开始录音?[标准格式:30]
    13. 5.13. 监听工具录音连续几秒没有检测到声音停止录音?[标准格式:3]
    14. 5.14. 监听工具保存文件存储路径的数据库名称是?[标准格式:sqlite.db]
    15. 5.15. 监听工具数据库中保存音视频文件的路径使用什么加密?[标准格式:Rsa]
    16. 5.16. 录音的文件采用什么加密方式?[标准格式:RC4-123]
    17. 5.17. 录像文件加密秘钥的最后一位是?[标准格式:0x6A]
    18. 5.18. 原始文件md5为3b4d****55ae的创建时间是?[标准格式:2024-2-14-16:32:8]
  6. 6. exe取证
    1. 6.1. 分析Windows木马,其控制端ip是?[标准格式:192.168.1.11]
    2. 6.2. 软件会复制自身到哪个文件夹下?[标准格式:DaTa]
    3. 6.3. 接上题,复制后软件名称是?[标准格式:AppTmp.exe]
    4. 6.4. 软件一共可以窃取多少种浏览器的信息?[标准格式:3]
    5. 6.5. 软件查询安装的杀毒软件出错或异常会返回什么字符串?[标准格式:Apps]
  7. 7. 服务器
    1. 7.1. 仿真
      1. 7.1.1. 基本信息
    2. 7.2. 分析服务器检材,找出服务器系统启动盘的GUID?[标准格式:数字、字母、-的组合,字母大写]
    3. 7.3. 找出服务器网关IP?[标准格式:1.1.1.1]
    4. 7.4. 找出服务器数据盘的文件系统格式?[标准格式:ntfs]
    5. 7.5. 找出服务器数据盘的解密密钥文件名?[标准格式:abcd]
    6. 7.6. 找出服务器密码?[标准格式:key@123]
    7. 7.7. 找出服务器版本号?[标准格式:0.0.0]
    8. 7.8. 找出服务器内Docker虚拟硬盘位置?[标准格式:/home/abc/adc.raw]
    9. 7.9. 找出服务器启动盘的启动标识?[标准格式:D100,写出型号即可]
    10. 7.10. 找出服务器内共有多少个容器镜像?[标准格式:10]
    11. 7.11. 重构
    12. 7.12. 对贾韦码计算机进行分析,账本系统使用的web框架是什么?[标准格式:Django]
    13. 7.13. 对账本系统进行分析,使用的数据库名称是?[标准格式:test]
    14. 7.14. 对账本系统进行分析,账本使用的数据库版本是多少?[标准格式:1.1.1]
    15. 7.15. 对账本系统进行分析,用户手机号码在数据库中的加密方法是?[标准格式:xor-325-dfg]
    16. 7.16. 分析crypto.js中的_0x3ad7函数,找出返回加密数据的编码格式?[标准格式:ascii]
    17. 7.17. 分析crypto.js中的_0x3ad7函数,找出使用异常作为控制流的触发语句?[标准格式:Test:connec]
    18. 7.18. 分析keyManager.js中initializeKeys`函数的密钥获取优先级是什么?[标准格式:我是谁>我是谁>我是谁]
    19. 7.19. 对账本系统进行分析,账本记录的用户总数是多少?[标准格式:1234]
    20. 7.20. 对账本系统进行分析,身份证号“430014197812200986”用户的投资金额是多少?[标准格式:111111]
    21. 7.21. 对账本系统进行分析,姓名为明凤英的客户共有几人?[标准格式:1]
  8. 8. 物联网取证
    1. 8.1. 分析冰箱,请问智能冰箱的品牌?[标准格式:xiaomi]
    2. 8.2. 请问智能冰箱的型号?[标准格式:MiFridge2024]
    3. 8.3. 请找智能冰箱的uuid?[标准格式:34567890-12cd-efab-3456-789012cdefab]
    4. 8.4. 请问智能冰箱默认保存几张图片?[标准格式:1]
    5. 8.5. 请问冰箱中已存的第一张图片上的内容是什么?[标准格式:满城尽带黄金甲]
    6. 8.6. 请问冰箱中已存的第二张图片的名称是什么?[标准格式:123.jpg]
    7. 8.7. 请找冰箱中隐藏的内容?[标准格式:chuzixizipizi]
    8. 8.8. 请找出冰箱中嫌疑人图片MD5值的后六位?[标准格式:1a2b3d]
    9. 8.9. 请找出冰箱最后一次开门时间?[标准格式:10:11]
    10. 8.10. 默认图片的存储限制大小是多少?[标准格式:1KB]
    11. 8.11. 分析video.E01,被修改的录像md5前5位是?[标准格式:1a2b3]
  9. 9. 数据分析
    1. 9.1.

pangushi2025

电子取证

检材容器加载密码:01tn0GdE0]BF00pT0T&f00&u0k-q0Up41UhA00N,0-L0kRr0j-p0T&R1F&=0\Ni1GR]

本文学习
第三届盘古石杯 初赛 复现 | Aura Blog

VR

计算机

分析贾韦码计算机检材,计算机系统Build版本为?【标准格式:19000】 Analyze Jia Wei Ma(贾韦码)’s computer sample: What is the system Build number? [Answer format: 19000]

答案:18362

计算机最后一次正常关机的时间为?UTC +0【标准格式:2025-05-06 09:00:00】 When was the computer last shut down normally (UTC +0)? [Answer format: 2025-05-06 09:00:00]

答案:2025-04-18 3:20:54

这个是我们的UTC+8时间,要减去8小时

计算机网卡的MAC地址为?【标准格式:00-0B-00-A0-00-00】 What is the MAC address of the computer’s network interface card? [Answer format: 00-0B-00-A0-00-00]

答案:00-0C-29-0F-69-00

计算机用户“贾韦码” 安全标识符SID为?【标准格式:S-X-X-X-X-X-X-X】 What is the SID of user “贾韦码”? [Answer format: S-X-X-X-X-X-X-X]

答案:S-1-5-21-3733482367-3411043098-2536183883-1001

计算机默认浏览器为?【标准格式:Mozilla Firefox】 What is the default browser on the computer? [Answer example: Mozilla Firefox]

答案:S-1-5-21-3733482367-3411043098-2536183883-1001

计算机默认浏览器版本为?【标准格式:000.0.0000.00】 What is the version of the default browser? [Answer format: 000.0.0000.00]

答案:135.0.7049.95

机主通过浏览器搜索国外社交软件为?【标准格式:Whatsapp】 What international social app did the owner search for? [Answer example: Whatsapp]

答案:Telegram

机主的邮箱账号为?【标准格式:pgscup@pgs.com】 What is the owner‘s email account? [Answer format: pgscup@pgs.com]

答案:tqmdavidjohnson300@gmail.com

计算机安装过一款反取证软件为? [答案格式:Encrypt.exe]

答案:VeraCrypt.exe

计算机通过Xshell远程连接的ip地址为?【标准格式:127.0.0.1】 What IP address did the computer connect to via Xshell? [Answer format: 127.0.0.1]

答案:192.168.56.129

机主曾买过一个美国的TG账号,请给该账号的原两步验证密码?【标准格式:8位数字】 The owner purchased an US Telegram account. Provide its original two-step verification password. [Answer format: 8 digits]

答案:192.168.56.129

给出其电脑内加密容器的解密密码?【标准格式:Abc@123】 What is the decryption password for the encrypted container on the computer. [Answer format: Abc@123]

答案:Pgs8521d3j

根据下述规则进行解密

找到可疑数据

用爆破或者掩码

给出其电脑内加密容器挂载的盘符?【标准格式:C】 What drive letter is assigned to the mounted encrypted container? [Answer format: C]

答案:F

给出其电脑内存放了多少张伪造身份证?【标准格式:10】 How many forged ID cards are stored on the computer? [Answer format: 10]

答案:1023

给出任敏的身份证编号? [答案格式:18位]

答案:430529195112085460

找出其电脑内存放的密钥文件,计算其MD5?【标准格式:字母小写】 Find the MD5 hash of the key file stored on the computer. [Answer format: lowercase letters]

答案:1022cc083a4a5a9e2036065e2822c48e

有个 3pgscup.rar,火眼中只有快捷方式

直接 xwf 爆搜 rar 文件头 Rar!
列出所有的搜索结果

找到密钥内容keyfile
emZz5Yqg5a+GcG9vbOWvhumSpeaWh+S7tg==

找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容?【标准格式:第3届pgscup】 Decrypt the key file stored on the computer and give the content. [Answer format: 第3届pgscup]

答案:zfs加密pool密钥文件

base64解密即可

对macOS系统进行解析,登陆的电子邮件服务是谁提供的?【标准格式:pgscup】 Analyze the macOS system. Who provides the email service you log in to? [Standard format: pgscup]

答案:outlook

系统备忘录的包名是什么?【标准格式:com.dfefef.note】 What is the package name of the system’s Notes app? [Answer format: com.dfefef.note]

答案:com.apple.Notes

图片中隐藏的内容是什么? [答案格式:隐藏内容 刷子戏子痞子]

答案:位移加密 正向位移操作

备忘录里提示在下载中有图片

red plane 0通道二维码

被加密文件的扩展名是什么?【标准格式:123】 What is the file extension of the encrypted files? [Answer format: 123]

答案:enc

被加密的文件总共有几个? [答案格式:5]

答案:1

只有桌面的一个

贾韦码家使用的智能门锁品牌型号是什么?【标准格式:小米X号】 What is the brand and model of the smart lock used in Jia Wei Ma(贾韦码)’s home? [Answer example: 小米X号]

答案:``

需要先mac取证
解密苹果电脑的 贾韦码资料.rar.enc

mac应用取证

对mac电脑中的加密程序进行分析,使用了一个特定的数作为密钥生成的种子,请问这个数是什么?[标准格式:1234]

答案:42

加密程序在mac桌面

导出到桌面,运行后发现缺少模块,可以看到可能是加密模块

解压python38,找到加密模块,解压出来用 uncompyle6 或者在线![https://pylingual.io]反编译一下(这里注意uncompyle6反编译笔者遇到未完全的问题)。


分析文件头部元素并确定它们的正确顺序。将字段名称按顺序连接并提交?[标准格式:字段1_字段2_字段3…]

答案:iv_encrypted_data

需要pylingual反编译结果

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
# Decompiled with PyLingual (https://pylingual.io)
# Internal filename: encrypt_deobfuscated.pyc
# Bytecode version: 3.8.0rc1+ (3413)
# Source timestamp: 2025-04-17 01:58:27 UTC (1744855107)

import os
import sys
import tkinter as tk
from tkinter import filedialog, messagebox
from Crypto.Cipher import AES
import base64
import hashlib
import time
import random

  

class EncryptionTool:
  
    def __init__(self):
        self._generate_key()

    def _generate_key(self):
        seed_values = [(19, 7, 83), (5, 31, 69), (13, 11, 86), (41, 3, 76), (2, 57, 55), (23, 5, 96), (17, 13, 58), (29, 7, 94), (11, 19, 102), (7, 17, 42), (43, 3, 48), (37, 11, 51), (3, 43, 52), (59, 7, 53), (47, 5, 54)]

        key_parts = []

        for a, b, base in seed_values:
            val = (a * b % 60 + base) % 256

            if val % 2 == 0:
                val = (val + 13) % 256

            else:
                val = (val + 7) % 256

            key_parts.append(chr(val))
        scrambled = []
        indices = [3, 7, 2, 12, 0, 11, 5, 14, 9, 1, 6, 4, 10, 8, 13]
        for idx in indices:
            scrambled.append(key_parts[idx])
        raw_key = ''.join(scrambled)
        timestamp = int(time.time()) % 1000
        random_val = random.randint(1, 255)
        entropy = chr(timestamp % 256) + chr(random_val)
        temp_key = hashlib.sha256((raw_key + entropy).encode()).digest()
        self._descramble_key(temp_key)

  

    def _descramble_key(self, temp_key):
        mixed_base = b''.join([bytes([b ^ 42]) for b in temp_key[:10]])
        actual_key = 'SecureKey123456'
        self.enhanced_key = self.enhance_key(actual_key)

  

    def enhance_key(self, key):
        round1 = self._add_salt(key)
        round2 = self._ascii_transform(round1)
        round3 = self._xor_transform(round2)
        round4 = round3[::-1]
        final_key = hashlib.md5(round4.encode()).digest()
        return final_key

  

    def _add_salt(self, key):
        salt_components = ['salt', '_', 'value']
        return key + ''.join(salt_components)

  

    def _ascii_transform(self, text):
        result = ''
        for i in range(len(text)):
            ascii_val = ord(text[i])
            if i % 3 == 0:
                result += chr((ascii_val + 7) % 256)
            elif i % 3 == 1:
                result += chr((ascii_val ^ 15) % 256)
            else:
                result += chr(ascii_val * 5 % 256)

        return result

  

    def _xor_transform(self, text):
        xor_keys = ['XorKey123456789', 'AnotherKey987654']
        result = text
        for xor_key in xor_keys:
            temp = ''
            for i in range(len(result)):
                temp += chr(ord(result[i]) ^ ord(xor_key[i % len(xor_key)]))
            result = temp

        return result

  

    def pad_data(self, data):
        block_size = AES.block_size
        padding_length = block_size - len(data) % block_size
        padding = bytes([padding_length]) * padding_length
        return data + padding

  

    def unpad_data(self, data):

        padding_length = data[-1]

        return data[:-padding_length]

  

    def encrypt_file(self, input_file, output_file=None):

        if not output_file:
            output_file = input_file + '.enc'

        try:

            cipher = AES.new(self.enhanced_key, AES.MODE_CBC)
            iv = cipher.iv
            with open(input_file, 'rb') as f:
                file_data = f.read()
            padded_data = self.pad_data(file_data)
            encrypted_data = cipher.encrypt(padded_data)
            with open(output_file, 'wb') as f:
                f.write(iv + encrypted_data)
            return (True, output_file)

        except Exception as e:
            return (False, str(e))

  

class EncryptionGUI:

  

    def __init__(self, root):
        self.root = root
        self.root.title('File Encryption Tool')
        self.root.geometry('500x300')
        self.root.resizable(False, False)
        self.encryptor = EncryptionTool()
        self.setup_ui()

  

    def setup_ui(self):
        file_frame = tk.Frame(self.root, pady=20)
        file_frame.pack(fill='x')
        tk.Label(file_frame, text='Select File to Encrypt:').pack(side='left', padx=10)
        self.file_path = tk.StringVar()
        tk.Entry(file_frame, textvariable=self.file_path, width=30).pack(side='left', padx=5)
        tk.Button(file_frame, text='Browse', command=self.browse_file).pack(side='left', padx=5)
        action_frame = tk.Frame(self.root, pady=20)
        action_frame.pack()
        tk.Button(action_frame, text='Encrypt File', command=self.encrypt_file, bg='#4CAF50', fg='white', width=15, height=2).pack(pady=10)
        status_frame = tk.Frame(self.root, pady=10)
        status_frame.pack(fill='x')
        self.status_var = tk.StringVar()
        self.status_var.set('Ready')
        tk.Label(status_frame, textvariable=self.status_var, bd=1, relief=tk.SUNKEN, anchor=tk.W).pack(fill='x', padx=10)

  

    def browse_file(self):
        filename = filedialog.askopenfilename(title='Select File to Encrypt')
        if filename:
            self.file_path.set(filename)

  

    def encrypt_file(self):
        file_path = self.file_path.get()
        if not file_path:
            messagebox.showerror('Error', 'Please select a file first!')
            return

        self.status_var.set('Encrypting...')
        self.root.update()
        success, result = self.encryptor.encrypt_file(file_path)

        if success:
            self.status_var.set(f'Encryption complete! Output: {result}')
            messagebox.showinfo('Success', f'File encrypted successfully!\nOutput: {result}')

        else:
            self.status_var.set(f'Encryption failed: {result}')
            messagebox.showerror('Error', f'Encryption failed: {result}')

  

def main():
    root = tk.Tk()
    app = EncryptionGUI(root)
    root.mainloop()

if __name__ == '__main__':
    main()

密钥派生过程中使用了几个算法步骤。其中一个函数使用了与其实际功能不符的名称。找出这个函数名并提交?[标准格式:函数名]

答案:_descramble_key


有一个透明的未用到的变量

程序中实现了一个故意减慢加密过程的机制,延迟值是多少?[标准格式:1.1]

答案:``

程序中隐藏了一个版本标识符,请找出版本号?[标准格式:v1.1.1]

答案:``

手机

分析安卓手机检材,手机的IMSI是? [答案格式:660336842291717]

答案:460036641292715

养鱼诈骗投资1000,五天后收益是?[答案格式:123]

答案:175

分析苹果手机检材,手机的IDFA是?[答案格式:E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17]

答案:E477D4C7-BD02-4979-BC9D-5C5DE7BD1F17

Telegram应用的卸载时间是?[答案格式:2023-01-22-17:37:50]

答案:2025-04-17 10:51:39

机主hotmail邮箱地址是?[答案格式:123345@hotmail.com]

答案:hostsixer@hotmail.com

苹果电脑开机密码是?[答案格式:12345]

答案:12345678

Telegram加密通讯中,加密聊天信息用到的第二个解密载体是?[答案格式:123.zip]

答案:2.mp4

之前备忘录里第二个视频

47s左右有信息

贾韦码的内部代号是?[答案格式:77]

答案:48

在telegram中有密语

office文件中有解密聊天记录

特快专递的收货地址是?[标准格式:老牛市快速路11号ADE公司]

答案:西红市中山路35号PGS健身房

同样的文件

## APK取证

分析安卓检材,远控工具包名是?[标准格式:com.app.cpp]

答案:com.carriez.flutter_hbb

可以在安卓手机上看到远控工具

拖入雷电APP

远控工具中继服务器IP是?[标准格式:192.168.11.11]

答案:59.110.10.229

在下图路径下有配置文件,两个都是59.110.10.229
!

远控工具ID服务器端口是?[标准格式:8088]

答案:21116

如上图所示

远控工具中继服务器Key是?[标准格式:HoTwGxUuV9OxSSEWRFsr1DVxQBkbbFRe0ImYMTlzyec=]

答案:WIUqzRq1Ocx4QNnsF26dZQijKdyd2L9OfaT55hDlQCI=

远控工具中收藏的远程ID是?[标准格式:123456]

答案:1807892422

远程控制该手机的手机型号是?[标准格式:huawei-Hot]

答案:google-Pixel

监听工具包名是?[标准格式:com.app.cpp]

答案:com.example.liekai

找到可疑应用,有录音有视频

监听工具代码主入口是?[标准格式:com.app.cpp.MainActidddy]

答案:com.example.liekai.MainActivity

使用雷电分析

监听工具的签名算法是?[标准格式:AES123RSA ]

答案:SHA256-RSA

监听工具运行多少秒后会跳转成黑色幕布?[标准格式:3.000]

答案:1.00

直接运行,发现1 秒后黑屏。(不确定)

监听工具运行后,黑色幕布上字符串是?[标准格式:aes取证平台]

答案:pgs比武专用

详见第三届盘古石杯 初赛 复现 | Aura Blog
可以看出apk是flutter框架,先用 blutter 将符号表导出来,然后用 IDA 运行一下跑出来的 addNames.py

监听工具检测到多少分贝开始录音?[标准格式:30]

答案:70

打开应用截屏

监听工具录音连续几秒没有检测到声音停止录音?[标准格式:3]

答案:4

见上

监听工具保存文件存储路径的数据库名称是?[标准格式:sqlite.db]

答案:recordings.db

文件路径下只有一个数据库

监听工具数据库中保存音视频文件的路径使用什么加密?[标准格式:Rsa]

答案:Salsa20

录音的文件采用什么加密方式?[标准格式:RC4-123]

答案:AES-256

录像文件加密秘钥的最后一位是?[标准格式:0x6A]

答案:0x4D

原始文件md5为3b4d****55ae的创建时间是?[标准格式:2024-2-14-16:32:8]

答案:2025-4-18-22:32:8

exe取证

分析Windows木马,其控制端ip是?[标准格式:192.168.1.11]

答案:104.18.45.79

木马是lupg.exe

云沙箱

软件会复制自身到哪个文件夹下?[标准格式:DaTa]

答案:SubDir

接上题,复制后软件名称是?[标准格式:AppTmp.exe]

答案:BwAcr.exe

见上

软件一共可以窃取多少种浏览器的信息?[标准格式:3]

答案:8

软件查询安装的杀毒软件出错或异常会返回什么字符串?[标准格式:Apps]

答案:Unknown

服务器

仿真

参考佬的文章
第三届“盘古石杯”全国电子数据取证大赛初赛服务器

给的检材是一个unraid服务器

基本信息

服务器启动模式: UEFI/BIOS (SYSLINUX)
镜像模式: DD
引导盘/系统盘: server1.001
数据盘: server2.001
数据盘文件系统: LUKS加密(ZFS文件系统)

server2.001 是数据盘,被 LUKS 加密
之前计算机拿到的
1022cc083a4a5a9e2036065e2822c48e
可以用来解密

分析服务器检材,找出服务器系统启动盘的GUID?[标准格式:数字、字母、-的组合,字母大写]

答案:223DCB83-82B0-4C62-864A-DB28D84735B8

看配置文件

找出服务器网关IP?[标准格式:1.1.1.1]

答案:192.168.56.129

看配置文件

找出服务器数据盘的文件系统格式?[标准格式:ntfs]

答案:zfs

找出服务器数据盘的解密密钥文件名?[标准格式:abcd]

答案:keyfile

看luk1 解密记录

找出服务器密码?[标准格式:key@123]

答案:P@ssw0rd

找出服务器版本号?[标准格式:0.0.0]

答案:7.0.1

找出服务器内Docker虚拟硬盘位置?[标准格式:/home/abc/adc.raw]

答案:/mnt/disk1/docker.img

找出服务器启动盘的启动标识?[标准格式:D100,写出型号即可]

答案:U210

找出服务器内共有多少个容器镜像?[标准格式:10]

重构

第二个服务器是在计算机虚拟机中

直接添加为新检材,并仿真

桌面一个账本快捷方式

服务未启动

在D盘找到vue框架,前后端分离

需要我们一一打开

前端直接npm run serve打开

前端运行正常

开启后端

数据库连接成功但验证失败

在mongod.cfg 127.0.0.1修改为0.0.0.0

重启一遍MongoDB

成功本地连接

接下来看数据库连接语句

改为127.0.0.1




接下来进行绕密
直接带入bcrypto行不通
直接改源码

去掉感叹号

对贾韦码计算机进行分析,账本系统使用的web框架是什么?[标准格式:Django]

答案:Vue

见上

对账本系统进行分析,使用的数据库名称是?[标准格式:test]

答案:crm

见上

对账本系统进行分析,账本使用的数据库版本是多少?[标准格式:1.1.1]

答案:5.0.3

对账本系统进行分析,用户手机号码在数据库中的加密方法是?[标准格式:xor-325-dfg]

答案:aes-128-cbc

去看后端的源码,加密手机号码的逻辑在 util/crypto.js 里面。

分析crypto.js中的_0x3ad7函数,找出返回加密数据的编码格式?[标准格式:ascii]

答案:utf8

分析crypto.js中的_0x3ad7函数,找出使用异常作为控制流的触发语句?[标准格式:Test:connec]

答案:continue

分析keyManager.jsinitializeKeys`函数的密钥获取优先级是什么?[标准格式:我是谁>我是谁>我是谁]

答案:AES_SECRET_KEY>JWT_SECRET>MASTER_PASSWORD

对账本系统进行分析,账本记录的用户总数是多少?[标准格式:1234]

答案:2000

对账本系统进行分析,身份证号“430014197812200986”用户的投资金额是多少?[标准格式:111111]

答案:0

数据库中身份id被加密,直接看重构网站

找不到有点逆天,数据库备份也没有找到

对账本系统进行分析,姓名为明凤英的客户共有几人?[标准格式:1]

答案:2

物联网取证

分析冰箱,请问智能冰箱的品牌?[标准格式:xiaomi]

答案:Panasonic

请问智能冰箱的型号?[标准格式:MiFridge2024]

答案:NR-E46CV1

请找智能冰箱的uuid?[标准格式:34567890-12cd-efab-3456-789012cdefab]

答案:12345678-90ab-cdef-1234-567890abcdef

下面的数据都是face了,只有这个相关数据了

请问智能冰箱默认保存几张图片?[标准格式:1]

答案:5

5张图片

请问冰箱中已存的第一张图片上的内容是什么?[标准格式:满城尽带黄金甲]

答案:盘古石杯贾韦码

jpg的头是 FF D8 尾是 FF D9

粘贴出来复制到新的十六进制文件,后缀名为jpg

请问冰箱中已存的第二张图片的名称是什么?[标准格式:123.jpg]

答案:face2.jpg

face2.jpg

请找冰箱中隐藏的内容?[标准格式:chuzixizipizi]

答案:pangushicup

strings 一下

请找出冰箱中嫌疑人图片MD5值的后六位?[标准格式:1a2b3d]

答案:882564

第二张图片
开始地址:19060h
结束地址:1C578h +2h
跟第一张相同

第三张图片
开始地址:32078h
结束地址:40CA7h +2h

嫌疑人就是这张

md5:8a596b07d7751b57adeb8b9339882564

请找出冰箱最后一次开门时间?[标准格式:10:11]

答案:15:48

在电脑解出的压缩包中

默认图片的存储限制大小是多少?[标准格式:1KB]

答案:100KB

计算一下相邻 face 之间地址相差了多少,发现是 102400 字节,也就是 100 KB。

分析video.E01,被修改的录像md5前5位是?[标准格式:1a2b3]

答案:ea7be

数据分析