案情描述:见盘古石取证的视频号
VR容器密码:9f8L2kP7mQv3RzX1tB5n6yH4CwJp9TqEa2rF1xSbD0LcKjZ
镜像容器密码:01tn0GdE0]BF00pT0T&f00&u0k-q0Up41UhA00N,0-L0kRr0j-p0T&R1F&=0\Ni1GR]
手机取证
- 分析安卓手机检材,手机的IMSI是? [答案格式:660336842291717]
答案:460036641292715
- 养鱼诈骗投资1000,五天后收益是? [答案格式:123]
5天收益是175,10天就是175*2
答案:350
- 分析苹果手机检材,手机的IDFA是? [答案格式:E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17]
答案:E477D4C7-BD02-4979-BC9D-5C5DE7BD1F17
- Telegram应用的卸载时间是? [答案格式:2023-01-22-17:37:50]
答案:2025-04-17 10:51:39
- 机主hotmail邮箱地址是? [答案格式:123345@hotmail.com]
答案:xtest901234@hotmail.com
- 苹果电脑开机密码是? [答案格式:12345]
答案:12345678
- Telegram加密通讯中,加密聊天信息用到的第二个解密载体是? [答案格式:123.zip]
这个在mac里面(不是很理解为什么放在这里
答案:2.mp4
- 贾韦码的内部代号是? [答案格式:77]
在iPhone里面翻Office元文件能发现两个文档
打开里面有贾伟码的内部代号
这里的代号48应该指的是贾伟码(因为贾伟码是被kill了
答案:48
- 特快专递的收货地址是? [答案格式:老牛市快速路11号ADE公司]
接着往下看,能看到收货地址
答案:西红市中山路35号PGS健身房
APK取证
- 分析安卓检材,远程工具包名是? [答案格式:com.app.cpp]
贾伟码的qq里面有发过apk给别人
丢去分析一下
答案:com.carriez.flutter_hbb
- 远程工具中继服务器IP是? [答案格式:192.168.11.11]
在手机的用户数据里面找到RustDesk的配置文件
导出查看
答案:59.110.10.229
- 远程工具ID服务器端口是? [答案格式:8088]
同上
答案:21117
- 远程工具中继服务器Key是? [答案格式:HOtGxUuV9OxSSEWRFsr1DVxQBkbbFReOImYMT1zyec=]
同上
答案:WIUqzRq1Ocx4QNnsF26dZQijKdyd2L9OfaT55hDlQCI=
- 远程遥控中收藏的远程ID是? [答案格式:123456]
答案:1807892422
- 远程控制该手机的手机型号是? [答案格式:huawei-Hot]
同上
答案:google-Pixel
- 监听工具包名是? [答案格式:com.app.cpp]
手机里发现这个异常的app
丢雷电看看权限
有录音和拍照,怀疑监听
答案:com.example.liekai
- 监听工具代码主入口是? [答案格式:com.app.cpp.MainActiddidy]
答案:com.example.liekai.MainActivity
- 监听工具的签名算法是? [答案格式:AES123RSA]
同上
答案:SHA256RSA
监听工具运行多少秒后会跳转成黑色幕布? [答案格式:3.000]
监听工具运行后,黑色幕布上字符串是? [答案格式:aes取证平台]
监听工具检测到多少分贝开始录音? [答案格式:30]
监听工具录音连续几秒没有检测到声音停止录音? [答案格式:3]
监听工具保存文件存储路径的数据库名称是? [答案格式:sqlite.db]
监听工具保存录像文件的文件夹是? [答案格式:file]
监听工具数据库中保存音视频文件的路径使用什么加密? [答案格式:Rsa]
录音的文件采用什么加密方式? [答案格式:RC4-123]
录像文件加密密钥的最后一位是? [答案格式:0x6A]
原始文件md5为3b4d****55ae的创建时间是? [答案格式:2024-2-14-16:32:8]
计算机取证
1.分析贾韦码计算机检材,计算机系统Build版本为? [答案格式:19000]
答案:18362
2.计算机最后一次正常关机的时间为UTC +0? [答案格式:2025-05-06 09:00:00]
这个是+8的,要自己转一下
答案:2025-04-18 03:20:54
3.计算机网卡的MAC地址为? [答案格式:00-0B-00-A0-00-00]
实体网卡
答案:00-0C-29-0F-69-00
4.计算机用户“贾韦码”安全标识符SID为? [答案格式:S-X-X-X-X-X-X-X]
答案:S-1-5-21-3733482367-3411043098-2536183883-1001
5.计算机默认浏览器为? [答案格式:Mozilla Firefox]
答案:Google Chrome
6.计算机默认浏览器版本为? [答案格式:000.0.0000.00]
答案:135.0.7049.96
7.机主通过浏览器搜索国外社交软件为? [答案格式:Whatsapp]
想买tg号
答案:Telegram
8.机主的邮箱账号是? [答案格式:pgscup@pgs.com]
用了Gmail
答案:tqmdavidjohnson300@gmail.com
9.计算机安装过一款反取证软件为? [答案格式:Encrypt.exe]
答案:VeraCrypt.exe
10.计算机通过xshell远程连接的IP地址为? [答案格式:127.0.0.1]
答案:192.168.56.129
11.机主曾买过一个美国的TG账号,请给该账号的两步验证密码? [答案格式:8位数字]
在ThunderBird里面有贾伟码的Gmail邮箱
答案:13770603
12.给出其电脑内加密容器的解密密码? [答案格式:Abc@123]
疑似容器
VR里面有规则,在卧室衣柜的密室里面有一个密码本
把容器拿去Passwave爆破
答案:Pgs8521d3j
13.给出其电脑内加密容器挂载的盘符? [答案格式:C]
翻访问记录能翻到盘符
答案:F
14.给出其电脑内存放了多少张伪造身份证? [答案格式:10]
在vc容器里有
答案:1023
15.给出任敏的身份证编号? [答案格式:18位]
vc里面有xls
16.找出其电脑内存放的密钥文件,计算MD5? [答案格式:字母小写]
这里有X-Way全局搜,找到了keyfile,和服务器能关联起来的
它是一个rar文件,里面有一个keyfile文件,我们直接提取keyfile文件
答案:1022cc083a4a5a9e2036065e2822c48e
17.找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容? [答案格式:第3届pgscup]
密钥里面是base64编码
答案:zfs加密pool密钥文件
18.对macOS系统进行分析,登陆的电子邮件服务是谁提供的? [答案格式:pgscup]
答案:outlook
19.系统备忘录的包名是什么? [答案格式:com.dfefef.note]
答案:com.apple.notes
20.图片中隐藏的内容是什么? [答案格式:隐藏内容 刷子戏子痞子]
在Mac的下载文件夹里面有三个文件
图片提取出来,用StegSolve,能够看到隐写的二维码
扫描得出结果
答案:位移加密 正向位移操作
21.被加密文件的扩展名是什么? [答案格式:123]
mac的桌面上有
答案:enc
22.被加密的文件总共有几个? [答案格式:5]
23.贾韦码家使用的智能门锁品牌型号是什么? [答案格式:小米XX号]
EXE取证
服务器取证
Unraid还原
准备工具
- 空的u盘(2.0或者3.0都OK)
- Unraid USB Creator(https://releases.unraid.net/dl/stable/unraid-usb-creator-next/unraid-usb-creator-1.0.0.exe)或者Rufus(https://github.com/pbatard/rufus/releases/download/v4.7/rufus-4.7p.exe)
- 从镜像中提取的config文件夹
- VMware Linux 5.x 64位虚拟机
可以从贾伟码的电脑里面直接提取出Unraid-7.0.1的镜像
提取出来用Creator或者Rufus写入,我这里用官方的工具写进u盘,我这里已经下了新版的unraid,所以我用新版的写入
下一步需要填写IP信息,由于我们的配置文件会被直接覆盖,所以这里随便填,或者直接下一步
继续之后就是写入到存储设备,我这里写好了就不演示了,注意的是杀软可能会拦截行为,所以需要给行为允许或者退出杀软才能正常写入
写好的结构是上面那样的,接下来我们需要挂载检材,提取config文件夹替换掉u盘里面的
替换完成之后就可以卸载掉检材的启动盘(server1)了,接下来需要挂载server2卷
这里选择Block Device和Writable,确保磁盘不被实体机占用
随后创建虚拟机,注意VM需要以管理员权限启动,因为我们需要使用到实体盘
处理器和内存建议是4c4g以上,以防容器太多启动不了
网络连接后面再弄,先NAT
控制器用推荐的,磁盘类型选SATA
磁盘选择使用物理磁盘
选择的物理磁盘需要一一对应
然后结束创建,然后就是弄网络,看unraid的配置里面,用的是56段
这里要改服务器的配置的,GateWay改成192.168.56.2,其他不用动,其实这里就看到了题目的第二题
然后在VM的虚拟网络编辑器里面新建一个仅主机网络,网段是192.168.56.0
然后将虚拟机的网络接入到虚拟网络里
还需要在虚拟机设置-选项里面修改固件类型,修改成UEFI
所有的一切准备好,就可以开机了,开机的时候按ESC,进入选择启动项的页面,连接u盘
再重置机器,按ESC,选择USB启动,然后启动Unraid
这样就是启动成功了,启动成功之后通过HTTP访问机器,会发现需要密码,可以拿u盘的shadow文件去爆破,用john或者hashcat都可以
爆出来的密码是P@ssw0rd,这里就不演示了,直接登录
进来会提示缺少密钥,而密钥存放的位置是/root/keyfile,根本没有这个文件,可能会在其他检材里面
所以去其他检材全局搜keyfile这个文件,发现在贾伟码电脑里面有keyfile
它是一个rar文件,里面有一个keyfile文件,我们直接提取keyfile文件
提取出来是这样的,然后我们拿去解密
启动即可
1.分析服务器检材,找到服务器系统启动盘的GUID? [答案格式:数字、字母、-的组合,字母大写]
在go文件里面找得到
答案:223DCB83-82B0-4C62-864A-DB28D84735B8
2.找出服务器网关IP? [答案格式:1.1.1.1]
在network.cfg里面有
答案:192.168.56.129
3.找出服务器数据盘的文件系统格式? [答案格式:ntfs]
仿真起来能看得到
答案:zfs
4.找出服务器数据盘的解密密钥文件名? [答案格式:abcd]
在disk.cfg里面
答案:keyfile
5.找出服务器密码? [答案格式:key@123]
爆破shadow文件得
答案:P@ssw0rd
6.找出服务器操作系统版本号? [答案格式:0.0.0]
看镜像里面的UNRAID卷,里面的changes.txt有版本号
7.找出服务器内网盘Docker的虚拟磁盘位置? [答案格式:/home/abc/adc.raw]
答案:/mnt/disk1/docker.img
8.找出服务器启动盘的启动标识? [答案格式:D100 (型号即可)]
看镜像里面,有log
拉出来看,在syslog里面能发现型号信息
答案:U210
9.找出服务器内共有多少个容器镜像? [答案格式:10]
答案:5
10.找出服务器内网盘服务器所用数据库运行的容器名? [答案格式:abc-abc-1]
答案:www-db-1
11.找出服务器内虚拟币容器对外暴露的端口号? [答案格式:8000]
答案:22556
12.找出投资理财网站的域名? [答案格式:3w.baidu.com]
13.找出投资理财网站内连接数据库的密码? [答案格式:password]
14.找出投资理财网站后台访问地址? [答案格式:http://www.baidu.com/login.html]
15.找出投资理财网站会员等级储存在哪个数据库表内? [答案格式:user]
16.找出投资理财网站提现成功的金额? [答案格式:10000]
17.找出投资理财网站内用户王欣的银行卡号? [答案格式:16位数字]
18.找出投资理财网站用户的最低提现金额? [答案格式:10000]
19.给出存放投资理财用户表内clock为0表示用户处于那种状态? [答案格式:核实]
20.投资理财网站内,通过支付宝充值状态为未支付的金额? [答案格式:10000]
21.对贾韦码计算机进行分析,账本系统使用的web框架是什么? [答案格式:Django]
22.对账本系统进行分析,账本使用的数据库版本是多少? [答案格式:1.1.1]
23.对账本系统进行分析,使用的数据库库名是? [答案格式:test]
24.对账本系统进行分析,用户手机号码在数据库中的加密方法是? [答案格式:xor-325-dfg]
25.分析 crypto.js 中的 _0x3ad7 函数,找出返回加密数据的方法的编码格式? [答案格式:ascii]
26.分析 crypto.js 中的 _0x3ad7 函数,找出使用异常作为控制流的触发语句? [答案格式:Test:connec]
27.分析KeyManager.js中 initializeKeys 函数的密钥获取优先级是什么? [答案格式:优先级1>优先级2>优先级3]
28.对账本系统进行分析,账本记录的用户总数是多少? [答案格式:1234]
29.对账本系统进行分析,身份证号 “430014197812200986” 用户的投资金额是多少? [答案格式:111111]
30.对账本系统进行分析,姓名为明风英的客户有几人? [答案格式:1]
