2023蓝帽杯初赛取证

排名：37

取证检材容器密码：Hpp^V@FQ6bdWYKMjX=gUPG#hHxw!j@M9

案件详情

        2021年5月，公安机关侦破了一起投资理财诈骗类案件，受害人陈昊民向公安机关报案称其在微信上认识一名昵称为yang88的网友，在其诱导下通过一款名为维斯塔斯的APP，进行投资理财，被诈骗6万余万元。接警后，经过公安机关的分析，锁定了涉案APP后台服务器。后经过公安机关侦查和研判发现杨某有重大犯罪嫌疑，经过多次摸排后，公安机关在杨某住所将其抓获，并扣押了杨某手机1部、电脑1台，据杨某交代，其网站服务器为租用的云服务器。

检材目录

apk	维斯塔斯.apk
阿里调证	hins261244292_data_20230807143325_qp.xb
	m-uf4ixbmgmy9mzs0yciuq_system.qcow2
计算机	pc.E01
	memdump.mem
手机	.vmdk

【APK取证】

1、涉案apk的签名序列号是？[答题格式:0x93829bd]

com.vestas.app

2、涉案apk的签名序列号是？[答题格式:0x93829bd]

0x563b45ca

3、涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

2147483647

 这题很奇怪，雷电跑出来和jadx的数据不一样，我们答案贴的是雷电的错了

4、涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

 https://vip.licai.com

摸瓜可以直接跑出来的，比赛当时死活启动不了，离大谱，后来我们根据网站部分写的域名，结果http少个s，大哭 

5、涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

io.dcloud.PandoraEntry 

【手机取证】 

6、该镜像是用的什么模拟器？[答题格式:天天模拟器]

雷电模拟器

7、该镜像中用的聊天软件名称是什么？[答题格式:微信]

与你

8、聊天软件的包名是？[答题格式:com.baidu.ces]

com.uneed.yuni

9、投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

5万

10、受害人是经过谁介绍认识王哥？[答题格式:董慧]

华哥

【计算机取证】

11、请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

23f861b2e9c5ce9135afc520cbd849677522f54c

12、给出pc.e01在提取时候的检查员？[答案格式：admin]

pgs 

这个确实找好久

13、请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

http://global.bing.com/?scope=web&mkt=en-US&FORM=QBRE

14、请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

yang88/3w.qax.com

15、请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

2023春季更新(14309)

填成.形式的版本号了

16、请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

24cfcfdf1fa894244f904067838e7e01e28ff450

D盘有一个img文件

17、请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

3w.qax.com!!@@

直接搜密码，据说用盘古石计算机跑能直接出VC密码 

 18、请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

 3261