蓝帽杯2022

计算机取证

1 内存取证获取开机密码

现对一个windows计算机进行取证，请您对以下问题进行分析解答。
从内存镜像中获得taqi7的开机密码是多少？（答案参考格式：abcABC123）

首先我们直接对 1.dmp 使用 vol查看

py -2 vol.py -f C:\Users\12455\Desktop\计算机取证\1.dmp --profile=Win7SP1x64 mimikatz

答案就是 anxinqi

2 查看 pid

制作该内存镜像的进程Pid号是多少？（答案参考格式：1024）

首先我们需要知道 制作镜像那么就需要 软件 exe

那我们直接查看进程

py -2 vol.py -f C:\Users\12455\Desktop\计算机取证\1.dmp --profile=Win7SP1x64 pslist

然后一个一个看

 

所以答案就是2192

3

bitlokcer分区某office文件中存在的flag值为？（答案参考格式：flag{abcABC123}）

这里就需要使用另一个镜像 是一个分区镜像

我们从火眼打开发现加密了 所以打开密码爆破 passware来爆破

因为我们有内存镜像 所以爆破更快

 这里是直接生成了一个没有密码的镜像导入火眼

 把所有文件导出

打开两个office文件 发现加密了 但是又有 pass 应该多半就是字典了

我们继续使用passware爆破

 

 

 

 

 

 

密码爆破出来了

287fuweiuhfiute

打开

4

TrueCrypt加密中存在的flag值为？（答案参考格式：flag{abcABC123}）

这里提示存在另一个加密 所有文件都没有

只有这个 txt文件可能是加密 我们直接放到 passware梭哈

 

 发现成功确实是 并且passware直接解开了

 

但是我们不知道如何查看

这里有多个方法

FTK

使用FTK读取

 binwalk

使用秘钥文件

这里需要使用取证大师

使用取证大师的内存镜像解析工具

这里存在两个密钥文件

 我们导出TrueCrypt

然后去取证大师直接取证

 

然后取证

 导出哈哈哈.zip

 

flag{1349934913913991394cacacacacacc}

程序取证

1 查看程序包

现已获取某个APP程序，请您对以下问题进行分析解答。
本程序包名是？（答案参考格式：abc.xx.de）

jadx反汇编

AndroidManifest.xml

 下就存在

exec.azj.kny.d.c

2

本程序的入口是？（答案参考格式：abc.xx.de）

使用摸瓜

 

 发现了入口

 minmtta.hemjcbm.ahibyws.MainActivity

3

本程序的服务器地址的密文是？（答案参考格式：abcABC123）

 

答案就是mHiddenApiWarningShown

4

本程序实现安全检测的类的名称是？（答案参考格式：abcABC123）

安全检测 我们首先可以看看打开程序

搜索root环境

 

 发现了 a类

手机取证

1

现对一个苹果手机进行取证，请您对以下问题进行分析解答。

627604C2-C586-48C1-AA16-FF33C3022159.PNG图片的分辨率是？（答案参考格式：1920×1080）
注意：中间为乘号×，不是字母x

直接打开盘古石阅读器

搜索图片名

 

 发现是360×360

2

姜总的快递单号是多少？（答案参考格式：abcABC123）

直接搜姜总

 SF1142358694796

网站取证

1

据了解，某网上商城系一团伙日常资金往来用，从2022年4月1日起使用虚拟币GG币进行交易，
现已获得该网站的源代码以及部分数据库备份文件，请您对以下问题进行分析解答。
请从网站源码中找出木马文件，并提交木马连接的密码。（答案参考格式：abcABC123）

直接d盾扫一下

 

 lanmaobei666

2

请提交数据库连接的明文密码。（答案参考格式：abcABC123）

直接看www

 发现是一个函数我们直接去看看在哪里

我们直接echo

KBLT123
		

3  盐值

请提交数据库金额加密混淆使用的盐值。（答案参考格式：abcABC123）

 首先金额

 

 

 jyzg123456

4

请计算张宝在北京时间2022-04-02 00:00:00-2022-04-18 23:59:59累计转账给王子豪多少RMB？（换算比例请从数据库中获取，答案参考格式：123.45，保留小数点后两位）

没做出来