2023蓝帽初赛

APK取证

1.涉案apk的包名是？[答题格式:com.baid.ccs]

用雷电APP智能分析打开

在基本信息里得到应用包名

答案：com.vestas.app 

2.涉案apk的签名序列号是？[答题格式:0x93829bd]

同理，在详细信息里面找到了签名序列号

答案：0x563b45ca

3.涉案apk中DCLOUD_AD_ID的值是？[答题格式:2354642]

同理用雷电

4.涉案apk的服务器域名是？[答题格式:http://sles.vips.com]

雷电能看

但是用模拟器打开app，报错提示也有url

答案：  https://vip.licai.com:8083

5.涉案apk的主入口是？[答题格式:com.bai.cc.initactivity]

答案：io.dcloud.PandoraEntry

手机取证

6.该镜像是用的什么模拟器？[答题格式:天天模拟器]

给的附件里可以找到leidian的字样

答案：雷电模拟器

7.该镜像中用的聊天软件名称是什么？[答题格式:微信]

盘古石手机取证导入data.vmdk

就可以看到是与你软件

答案：与你

8.聊天软件的包名是？[答题格式:com.baidu.ces]

取证大师导入手机的镜像可以在分区盘里找到

答案：com.uneed.yuni

9.投资理财产品中，受害人最后投资的产品最低要求投资多少钱？[答题格式:1万]

在盘古石看见聊天记录

就知道应该是五万

答案：五万

10.受害人是经过谁介绍认识王哥？[答题格式:董慧]

在盘古石里

答案：华哥

计算机取证

11.请给出计算机镜像pc.e01的SHA-1值？[答案格式：字母小写]

取证大师里面可以看见

答案：ea9dcc3d43df4c6448bb56e7ac820619d66fe821

12.【计算机取证】给出pc.e01在提取时候的检查员？[答案格式：admin]

取证大师直接看

答案：pgs

13.请给出嫌疑人计算机内IE浏览器首页地址？[答案格式：http://www.baidu.com]

仿真后打开ie浏览器

但是不对，就用注册表看

答案：http://go.microsoft.com

14.请给出嫌疑人杨某登录理财网站前台所用账号密码？[答案格式：root/admin]

仿真，谷歌自动填充功能找回密码

答案：yang88/3w.qax.com

15.请给出嫌疑人电脑内pdf文件默认打开程序的当前版本号？[答案格式：xxxx(xx)]

进仿真，在wps里边看

答案：2023春季更新(14309)

16.请给出嫌疑人计算机内文件名为“C盘清理.bat”的SHA-1？[答案格式：字母小写]

仿真中找到disk.img镜像

盘古石导入，可以找到C盘清理.bat

导出bat文件用cmd计算sha1值即可

答案：24cfcfdf1fa894244f904067838e7e01e28ff450

17.请给出嫌疑人Vera Crypt加密容器的解密密码？[答案格式：admin!@#]

在文件分类里面找到了密码.txt

答案：3w.qax.com!!@@

18.请给出嫌疑人电脑内iSCSI服务器对外端口号？[答案格式：8080]

在仿真里面搜索starwind，找到控制台并打开

答案：3261

19.请给出嫌疑人电脑内iSCSI服务器CHAP认证的账号密码？[答案格式：root/admin]

在仿真里去找配置文件starwind.cfg，用记事本打开，找到密码

答案：user/panguite.com

20.分析嫌疑人电脑内提现记录表，用户“mi51888”提现总额为多少？[答案格式：10000]

仿真后在f盘发现一个特别大的txt文件怀疑是加密容器就用VC打开然后把上面获取vc的密码输入

筛选求和一下得到是1019

答案：1019

内存取证

21.请给出计算机内存创建北京时间？[答案格式：2000-01-11 00:00:00]

volatility -f memdump.mem imageinfo

 Image local date and time就是计算机创建的北京时间

答案：2023-06-21 01:02:27

22.请给出计算机内用户yang88的开机密码？[答案格式：abc.123]

和14题一样

答案：3w.qax.com

23.提取内存镜像中的USB设备信息，给出该USB设备的最后连接北京时间？[答案格式：2000-01-11 00:00:00]

盘古石中可以找到2023-06-21 01:01:25