比赛总结就是首先审题要仔细,确定题目意思再去找才不会找错。
内存取证vol工具的使用不够熟练
然后容易走进死胡同,如果一个软件不能得到答案可以换一个看看,说不定就有答案了。
还有服务器取证很生疏,还是要多花时间做点题
取证检材容器密码:Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9
2021年5月,公安机关侦破了一起投资理财诈骗类案件,受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友,在其诱导下通过一款名为维斯塔斯的APP,进行投资理财,被诈骗6万余万元。接警后,经过公安机关的分析,锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑,经过多次摸排后,公安机关在杨某住所将其抓获,并扣押了杨某手机1部、电脑1台,据杨某交代,其网站服务器为租用的云服务器。上述检材已分别制作了镜像和调证,假设本案电子数据由你负责勘验,请结合案情,完成取证题目。
1、涉案apk的包名是?[答题格式:com.baid.ccs]
com.vestas.app
用GDA4打开,里面有包名
2、涉案apk的签名序列号是?[答题格式:0x93829bd]
0x563b45ca
3、涉案apk中DCLOUD_AD_ID的值是?[答题格式:2354642]
2147483647
在jadx直接搜 DCLOUD_AD_ID,就有序列号
4、涉案apk的服务器域名是?[答题格式:http://sles.vips.com]
https://vip.licai.com
用雷电app进行源码分析,是https。。
5、涉案apk的主入口是?[答题格式:com.bai.cc.initactivity]
io.dcloud.PandoraEntry
6、该镜像是用的什么模拟器?[答题格式:天天模拟器]
雷电模拟器
导出VBox.log文件,里面有雷电模拟器
7、该镜像中用的聊天软件名称是什么?[答题格式:微信]
与你
火眼
8、聊天软件的包名是?[答题格式:com.baidu.ces]
com.uneed.yuni
应用列表里面
9、投资理财产品中,受害人最后投资的产品最低要求投资多少钱?[答题格式:1万]
5万
聊天记录里面有
10、受害人是经过谁介绍认识王哥?[答题格式:董慧]
华哥
也是记录里面
11、请给出计算机镜像pc.e01的SHA-1值?[答案格式:字母小写]
23f861b2e9c5ce9135afc520cbd849677522f54c
比赛的时候直接拿工具算的,被骗了。。sad
直接取证大师打开,下面摘要有sha1值
12、给出pc.e01在提取时候的检查员?[答案格式:admin]
pgs
也是在摘要里面,有调查员姓名
13、请给出嫌疑人计算机内IE浏览器首页地址?[答案格式:http://www.baidu.com]
http://go.microsoft.com
比赛的时候仿真进去是必应
直接没多想就填了但现在也不懂到底错在哪
有wp说在取证大师里面写了windows主页
14、请给出嫌疑人杨某登录理财网站前台所用账号密码?[答案格式:root/admin]
yang88/3w.qax.com
15、请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号?[答案格式:xxxx(xx)]
2023春季更新(14309)
仿真pc.e01文件,就有版本号,本来写对的。。
16、请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1?[答案格式:字母小写]
24cfcfdf1fa894244f904067838e7e01e28ff450
17、请给出嫌疑人Vera Crypt加密容器的解密密码?[答案格式:admin!@#]
3w.qax.com!!@@
找到密码.txt,里面有。
当时在vc找了半天
18、请给出嫌疑人电脑内iSCSI服务器对外端口号?[答案格式:8080]
3261
19、请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码?[答案格式:root/admin]
user/panguite.com
把starwind这一整个文件夹导出
用vscode打开,然后搜索user。里面有巨多结果。StarWind.cfg中的chapLocalSecret里面有答案
20、分析嫌疑人电脑内提现记录表,用户“mi51888”提现总额为多少?[答案格式:10000]
1019
打开提现记录这张表,然后筛选mi51888,求和。。
本来这题也是对的。真di可惜
21、请给出计算机内存创建北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 01:02:27
使用vol
volatility -f "K:\计算机\memdump.mem" imageinfo
22、请给出计算机内用户yang88的开机密码?[答案格式:abc.123]
3w.qax.com
23、提取内存镜像中的USB设备信息,给出该USB设备的最后连接北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 01:01:25
火眼usb设备信息里面有
24、请给出用户yang88的LMHASH值?[答案格式:字母小写]
aad3b435b51404eeaad3b435b51404ee
还是vol
volatility -f "K:\计算机\memdump.mem" --profile=Win7SP1x64 hashdump
25.请给出用户yang88访问过文件“提现记录.xlsx”的北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 00:29:16
先在火眼里面全局搜索提现记录,发现有这个文件,跳转到源文件
26、请给出“VeraCrypt”最后一次执行的北京时间?[答案格式:2000-01-11 00:00:00]
2023-06-21 00:47:41
27、分析内存镜像,请给出用户在“2023-06-20 16:56:57 UTC+0”访问过“维斯塔斯”后台多少次?[答案格式:10]
2
火眼查看计算机检材的Chrome浏览器历史记录
28、请给出用户最后一次访问chrome浏览器的进程PID?[答案格式:1234]
2456
volatility -f "K:\计算机\memdump.mem" --profile=Win7SP1x64 pslist
29、分析涉案服务器,请给出涉案服务器的内核版本?[答案格式:xx.xxx-xxx.xx.xx]
3.10.0-957.el7.x86_64
仿真.qcow2文件
uname -r
30.分析涉案服务器,请给出MySQL数据库的root账号密码?[答案格式:Admin123]
ff1d923939ca2dcf
当时也是拿宝塔分析的。错误了。。
31、分析涉案服务器,请给出涉案网站RDS数据库地址?[答题格式: xx-xx.xx.xx.xx.xx]
pc-uf6mmj68r91f78hkj.rwlb.rds.aliyuncs.com
仿真,设置为nat模式
ip addr 查看ip地址
修改宝塔密码为123456
访问内网面板地址
32、请给出涉网网站数据库版本号? [答题格式: 5.6.00]
参考检材和题目,需要恢复xb文件,就是mysql的备份文件,需要通过下面的软件实现
wget "http://docs-aliyun.cn-hangzhou.oss.aliyun-inc.com/assets/attach/183466/cn_zh/1608011575185/qpress-11-linux-x64.tar"
tar xvf qpress-11-linux-x64.tar
chmod 775 qpress
cp qpress /usr/bin
wget https://www.percona.com/downloads/XtraBackup/Percona-XtraBackup-2.4.9/binary/redhat/7/x86_64/percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
yum install -y percona-xtrabackup-24-2.4.9-1.el7.x86_64.rpm
接下来是数据恢复
mkdir -p /home/mysql/data 创建一个恢复数据库的目录
cat hins261244292_data_20230807143325_qp.xb | xbstream -x -v -C /home/mysql/data
通过xbstream恢复数据到data路径
cd /home/mysql/data/
innobackupex --decompress --remove-original /home/mysql/data
innobackupex --defaults-file=/home/mysql/data/backup-my.cnf --apply-log /home/mysql/data
进一步恢复数据
chown -R mysql:mysql /home/mysql/data将该路径设置为mysql的数据地址
vim /home/mysql/data/backup-my.cnf
#添加如下参数
lower_case_table_names=1
#注释如下不支持的参数:
#innodb_checksum_algorithm=crc32
#innodb_log_checksum_algorithm=strict_crc32
#innodb_data_file_path=ibdata1:200M:autoextend
#innodb_log_files_in_group=2
#innodb_log_file_size=1572864000
#innodb_fast_checksum=false
#innodb_page_size=16384
#innodb_log_block_size=512
#innodb_undo_directory=./
#innodb_undo_tablespaces=0
#server_id=1291154917
#redo_log_version=1
#server_uuid=dbd99726-2585-11eb-9ae1-78aa82d27dc0
#master_key_id=0
#innodb_encrypt_algorithm=AES_256_CBC
https://www.cnblogs.com/black-fact/p/11613361.html 绕过密码
还原数据库
mysql -V
5.7.40
33、请给出嫌疑人累计推广人数?[答案格式:100]
69
重构网站,通过火眼的数据库取证工具导出viplicai.sql
在宝塔中导入到新建的aaa数据库中
分析计算机,火眼里有前台和后台的登陆地址
注册,发现需要推荐id,从数据库里面找
注册成功去member表通过create-at查找新注册用户的密码,就是自己的
把用户密码复制到admins中
登录后台
查看会员管理
这里显示有70个,因为刚才我们注册了一个
34、请给出涉案网站后台启用的超级管理员?[答题格式:abc]
admin
管理账号,其中有一个是禁用的
35、投资项目“贵州六盘水市风力发电基建工程”的日化收益为?[答题格式:1.00%]
在项目新闻中直接搜
4.00%
36、最早访问涉案网站后台的IP地址为[答题格式:8.8.8.8]
183.160.76.194
37、分析涉案网站数据库或者后台VIP2的会员有多少个[答案格式:100]
20
38、分析涉案网站数据库的用户表中账户余额大于零且银行卡开户行归属于上海市的潜在受害人的数量为[答题格式:8]
2
39、分析涉案网站数据库或者后台,统计嫌疑人的下线成功提现多少钱?[答题格式:10000.00]
128457.00
40、分析涉案网站数据库或者后台受害人上线在平台内共有下线多少人?[答题格式:123]
17
yang88的推荐号是513935
回到mysql的member表中查询,自己也是一个删掉
41、分析涉案网站数据库或者后台网站内下线大于2的代理有多少个?[答题格式:10]
60
先查询有几个代理下线大于2,然后统计代理的个数
42、分析涉案网站数据库或者后台网站内下线最多的代理真实名字为[答题格式:张三]
骆潇原
43、分析涉案网站数据库或者后台流水明细,本网站总共盈利多少钱[答题格式:10,000.00]
15,078,796.38
利润就是收益减去支出