盘古石杯2023初赛题解 |
您所在的位置:网站首页 › ff14自动采集脚本rb › 盘古石杯2023初赛题解 |
|
2023年第一届盘古石杯电子取证竞赛初赛题解¶
Author: NoahTie@啥也不会ver3 Zhang Juan¶ Android APP¶对应原题目 Android程序分析 部分. 两个应用都是打包后的HTML页面. 1.涉案应⽤刷刷樂的签名序列号是¶0x11fcf899 2.涉案应⽤刷刷樂是否包含读取短信权限¶否 3.涉案应⽤刷刷樂打包封装的调证ID值是¶A6021386163125 4.涉案应⽤刷刷樂服务器地址域名是¶http:\/\/vip.shuadan.com:8084 5.涉案应⽤刷刷樂是否存在录⾳⾏为¶没有录音权限(android.permission.RECORD_AUDIO). 否 6.涉案应⽤未来资产的包名是¶plus.H5CE4B30D 7.涉案应⽤未来资产的语⾳识别服务的调证key值是¶53feacdd 8.涉案应⽤未来资产的服务器地址域名是¶http:\/\/vip.usdtre.club:8085 9.涉案应⽤未来资产的打包封装的调证ID值是是¶H5CE4B30D Rong Henhan¶ Android Phone¶对应原题目 移动智能终端取证 的 1-10 题. 取证软件不能正常自动取证. 1.根据容恨寒的安卓⼿机分析,⼿机的蓝⽛物理地址是¶A9:8B:34:8B:04:50 2.根据容恨寒的安卓⼿机分析,SIM卡的ICCID是¶在数据库 坚果pro3.tar/Basic/sim/sim.db 中. 89014103211118510720 3.根据容恨寒的安卓⼿机分析,团队内部沟通的聊天⼯具程序名称是¶在 坚果pro3/Basic/appinfo/appinfo.db 中可以看到包名 com.qim.imm 对应的应用名称为 Potato. 数据库位于 data/com.qim.imm/databases/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db Potato 4.根据容恨寒的安卓⼿机分析,团队内部沟通容恨寒收到的最后⼀条聊天信息内容是¶在表 BAProvider$J 中, 保存了所有私聊消息的记录(Sender 或 Receiver 中一定包含容恨寒); 在表 BAProvider$g 中, 保存了所有群聊消息(字段包含 SENDERNAME 和 GROUPID). 私聊消息中的最后一条容恨寒接收到的消息发送于时间戳 1681302605884863 ; 群发消息中的最后一条消息发送于时间戳 1681302912881658. 收到 5.根据容恨寒的安卓⼿机分析,收到的刷单.rar的MD5值是¶在表 BAProvider$b 中, 保存了所有文件传输记录, 其中 STATUS 字段为 1 代表已接收, 为 0 代表未接收. sqlite 原生不支持 base64 编解码, 可以在 python 中通过 sqlite3 读取数据库内容: import sqlite3 from base64 import b64decode con = sqlite3.connect("E:/Panguite/FileExport/Rong_AndroidPhone/PatatoDatabase/im_db_225_18969939616_8AF2C81F-58C2-8459-C492-9C4F65E6BC1E.db") cur = con.cursor() result = cur.execute("SELECT NAME, PATH FROM `BAProvider$b` WHERE STATUS=1;") for item in result.fetchall(): print(f"{b64decode(item[0]).decode('U8')} -> {item[1]}") con.close()刷单.rar 被保存在 /storage/emulated/0/Android/data/com.qim.imm/files/Potato/Attachment/刷单.rar 目录下. MD5 为 DC52D8225FD328C592841CB1C3CD1761 . 6.根据容恨寒的安卓⼿机分析,收到的刷单.rar的解压密码是¶在表 BAProvider$h 中, 保存了所有群聊的信息. 在 NOTE 字段中可以看到密码规则: 通过 John 提取压缩包的 Hash: $rar5$16$fd80c0dad768537589fd4a01167abade$15$576345a86e55ff8cd1258d28b6c5e1b5$8$ecbfa2295c0972e4 再用 HashCat 爆破密码. rar2john /PATH/TO/RARFILE hashcat -m 13000 -a 3 '$rar5$16$fd80c0dad768537589fd4a01167abade$15$576345a86e55ff8cd1258d28b6c5e1b5$8$ecbfa2295c0972e4' -1 0123456789 wlzhg@?1?1?1?1@xnwlzhg@3903@xn 7.根据容恨寒的安卓⼿机分析,发送刷单.rar的⽤⼾的⼿机号是¶在群聊中查找发送 result = cur.execute("SELECT SENDERNAME, SUBJECT, BODY FROM `BAProvider$g`;").fetchall() result += cur.execute("SELECT SENDERNAME, SUBJECT, BODY FROM `BAProvider$j`;").fetchall() for item in result: if '刷单.rar'.encode('U8') in b64decode(item[2]): print(item[0], "\n -> ", b64decode(item[1]).decode('U8'), '\n -> ', b64decode(item[2]).decode('U8'))容恨寒 和 德彦慧 都在信息中发送了 刷单.rar. 可以看到这个文件首先由后者发送, 再由前者转发. 在表 BAProvider$h 中, 保存了所有用户的信息. 15137326185 8.根据容恨寒的安卓⼿机分析,发送多个报表的⽤⼾来⾃哪个部⻔¶在表 BAProvider$h 中查到 臧觅风 的用户ID为 229. 在表 BAProvider$m 中查到用户ID 229 的 群组ID(PARENTID) 为 109. 在表 BAProvider$k 中查到群组ID 229 的名称为 技术部. 技术部 9.根据容恨寒的安卓⼿机分析,MAC的开机密码是¶com.lq.bwljsb 是一个记事本APP. 该应用在检材提取时已经被删除, 但应用数据仍然保存在 /data/data/com.lq.bwljsb/databases/ 目录下. 在 runs.db* 的表 jinfo 中存储着 MAC 的开机密码和苹果手机的备份密码. apple 10.根据容恨寒的安卓⼿机分析,苹果⼿机的备份密码前4位是¶见上题. 1976 iPhone¶对应原题目 移动智能终端取证 的 18-21 题. iPhone 的备份文件位于 mac 电脑的 PC.raw/分区5/未命名 - 数据/Library/Application Support/MobileSync/Backup/ 目录下. 火眼的证据嵌套识别可以自动识别. 1.嫌疑人容恨寒苹果手机的IMEI是?¶自动取证可以找到. 353271073008914 2.嫌疑人容恨寒苹果手机最后备份时间是?¶自动取证可以找到. 2023-04-12 21:20:59 3.嫌疑人容恨寒苹果手机“易信”的唯一标识符(UUID)?¶在应用列表中可以看到易信的包名为 com.yixin.yixin. 在 /AppDomain-com.yixin.yixin/Library/Preferences/com.yixin.yixin.plist 可以找到易信的配置信息. 其中 NTESUniqueID_UDID 字段为唯一标识符. 00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6 4.嫌疑人容恨寒苹果手机微信ID是?¶wxid_peshwv0rosih12 Mac PC¶对应原题目 计算机取证 的 32-41 题. 开机密码参见 #9.根据容恨寒的安卓⼿机分析,MAC的开机密码是. 1.嫌疑人容恨寒苹果电脑的系统版本名称是?¶自动取证可以得到. macOS 12.6 2.嫌疑人容恨寒苹果电脑操作系统安装日期是?¶2022-10-09 13:11:30 3.嫌疑人容恨寒苹果电脑的内核版本是?¶macOS 的系统版本对应唯一的 Darwin 内核版本, 可以查到 macOS 12.6 对应的内核版本为 21.6.0. 21.6.0 4.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序?¶macOS 中先前运行的程序信息会保存在 PC.raw/分区5/未命名 - 数据/Users/apple/Library/Saved Application State/ 目录下. One of the new features in OS X Lion and OS X Mountain Lion is the “Resume” ability for all applications to save their last state, meaning when you relaunch the app or reboot your Mac, the application will “resume” and reopen again showing all of the windows and data that was last in use. This is a great feature for some apps and situations, but there are also times where you don’t want past app states to reappear. Source: Delete Specific Application Saved States from Mac OS X Resume 根据文件创建时间可以判断, 在上一次关机时, 访达(com.apple.finder) 与 终端(com.apple.terminal) 处于运行状态. 网上有现成的 parser 用于处理 saveStates 中的 data 文件, 从而可以获取程序上次运行时的状态: parse macOS savedState files · GitHub 2 5.嫌疑人容恨寒苹果电脑最后一次关机时间(GMT)?¶日志中可以看到. 2023-4-14 15:55:50 6.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令?¶4 7.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是?¶PC.raw/分区5/未命名 - 数据/Users/apple/Desktop/资料-.华南分区流水 是一个 rar 压缩包. 存在密码, 使用与 #6.根据容恨寒的安卓⼿机分析,收到的刷单.rar的解压密码是 一题相同的模板进行爆破. 得到密码为 wlzhg@3698@xn. 在 xlsx 文件中看到合计提款 30. 30 8.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是?¶docx 文件中有. 2.5 小时 9.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是?¶txt 文件中有. 10.通过分析得出嫌疑人容恨寒小孩的年龄是?¶容的 PC 中下载了一年级奥数教材, 猜测小孩上一年级, 按照国内的规定, 当年9月年满7岁可入学小学, 因此容的小孩很有可能7岁. 7 Wei Wenyin¶ Windows PC¶对应原题目 计算机取证 的 1-10 题. 分区5(D盘)存在 BitLocker 加密. 有一个内存镜像, TrueCrypt 密钥提取需要用到 vol2. 由于有硬盘镜像, 知道系统版本, 所以可以直接指定 profile=Win10x64_14393. 1.嫌疑人魏文茵计算机的操作系统版本?¶自动取证. Windows 10 Professional 14393 2.嫌疑人魏文茵计算机默认的浏览器是?¶仿真后看到是 Chrome. 也可以在注册表中看到. 3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?¶A.掠夺攻略.docx B.工资表.xlsx C.刷单秘籍.docx D.脚本.docx 4.嫌疑人魏文茵计算机中存在几个加密分区?¶1 个 5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?¶TrueCrypt 6.接上题,嫌疑人魏文茵计算机中加密容器加密后的容器文件路径?¶在文档中可以找到一个文件大小正好为 1024MB 的 txt 文件. 使用火眼的文件特征分析也可以找到. 但是这样做非常慢, 复盘时可以这样做, 但是比赛时没有时间. 一个折中的办法是, 将用户文件夹添加为新检材, 并对其进行特征分析, 可以有效地节省时间. 内存寻找 truecrypt 也可以找到. 可以提取到 MasterKey. C:\/Users\/WH\/Documents\/《穿越六十年代小知青》作者:平淡生活.txt 7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?¶TrueCrypt 加密容器可以通过内存中提取的密钥进行解密. 在 linux 或者 wsl 中使用 AmNe5iA/MKDecrypt 挂载 TrueCrypt 卷. MKDecrypt.py -m /mnt/tc -X /mnt/E/FileExport/Wei_Windows_PC/truecrypt.tc /mnt/E/Panguite/FileExport/Wei_Windows_PC/0xffffd78304c9c1a8_master.keyWindows 上可以使用 Elcomsoft Forensic Disk Decryptor. 之后可以看到被删除的 Steganography.jpeg. 从文件尾可以提取出来 BitLocker 的恢复密钥 000649-583407-395868-441210-589776-038698-479083-651618. 用此密钥可以解锁D盘. 000649-583407-395868-441210-589776-038698-479083-651618 8.嫌疑人魏文茵计算机中 BitLocker 加密分区中“攻略.docx”文档里涉及多少种诈骗方式?¶38 9.投资理财团伙“华中组”目前诈骗收益大约多少?¶ 10.通过对嫌疑人魏文茵计算机内存分析,print.exe 的 PID 是?¶ ./vol --profile=Win10x64_14393 -f Z:\魏文茵\电脑\memdump.mem pstree Volatility Foundation Volatility Framework 2.6 Name Pid PPid Thds Hnds Time -------------------------------------------------- ------ ------ ------ ------ ---- 0xffffd783046a7040:System 4 0 171 0 2023-04-16 03:58:09 UTC+0000 . 0xffffd78306431040:MemCompression 1600 4 12 0 2023-04-16 03:58:33 UTC+0000 . 0xffffd78305aed780:smss.exe 344 4 3 0 2023-04-16 03:58:09 UTC+0000 .. 0xffffd783061fd340:smss.exe 516 344 0 ------ 2023-04-16 03:58:15 UTC+0000 ... 0xffffd78306799080:winlogon.exe 584 516 6 0 2023-04-16 03:58:15 UTC+0000 .... 0xffffd78307182800:userinit.exe 3904 584 0 ------ 2023-04-16 03:59:04 UTC+0000 ..... 0xffffd78307180800:explorer.exe 3924 3904 86 0 2023-04-16 03:59:04 UTC+0000 ...... 0xffffd783085fd080:Taskmgr.exe 7608 3924 20 0 2023-04-16 04:03:44 UTC+0000 ...... 0xffffd783083a9800:print.exe 728 3924 3 0 2023-04-16 04:03:37 UTC+0000 ....... 0xffffd78304cec800:conhost.exe 7796 728 0 ------ 2023-04-16 04:03:37 UTC+0000 [snip]可以看到 print.exe 进程的 PID 为 728. 并且可以看到 print.exe 由 explorer 启动, print 启动了一个 conhost. 因此可以判断 print 是由用户运行的程序. 对应原题目 二进制文件分析. 恶意程序为 #10.通过对嫌疑人魏文茵计算机内存分析,print.exe 的 PID 是? 中的 print.exe. 程序文件位于 PC.E01/分区3/Users/WH/Downloads/print.exe. 11.根据魏文茵的计算机分析,恶意程序加了什么类型的壳¶UPX 12.根据魏文茵的计算机分析,恶意程序调用了几个dll¶查看 Imports 信息, 一共调用了 IPHLPAPI, KERNEL32, SHELL32, USER32, WS32_32 5个 dll. 5 13.根据魏文茵的计算机分析,恶意程序中send函数被多少个函数调用¶UPX 脱壳. 查看字符串找到 ip 地址. 跟进, main_0 中调用了 send. xref: 6 个 14.根据魏文茵的计算机分析,恶意程序远控端ip¶192.168.8.110 15.根据魏文茵的计算机分析,恶意程序远控端端口¶6069 16.根据魏文茵的计算机分析,恶意程序用到是tcp还是udp¶根据socket function (winsock2.h)给出的定义, 程序建立的 Socket 使用 TCP 协议. TCP 17.根据魏文茵的计算机分析,恶意程序能执行几条命令¶5 条, 根据接收到的前两字节, 由上至下分别执行: b'3w' ^ 0x7070 -> 测试链接(服务端返回 b'ok'^0x7070); b'4e' ^ 0x7070 -> 获取 MAC 地址; b'5r' ^ 0x7070 -> 读取文件并发送; b'6s' ^ 0x7070 -> 加密文件(按字节+1); b'7t' ^ 0x7070 -> 写一个 tmp.jpg.加密文件部分核心代码如下: int __cdecl sub_45EF40(const char *path_to_dir) // Encrypt_File { Remove_from_Queue(FileName, "%s%s", path_to_dir, "*"); FindHandle = j___findfirst64i32(FileName, &FindData); do { if ( (FindData.attrib & 0x10) != 0 ) { if ( j__strcmp(FindData.name, ".") && j__strcmp(FindData.name, "..") ) { Remove_from_Queue(v5, "%s%s%s", path_to_dir, FindData.name, "\\"); sub_4586E0((int)v5); // Recursion } } else if ( Get_FileExt(FindData.name, "my_check.txt") ) { Remove_from_Queue(v4, "%s%s", path_to_dir, FindData.name); } else if ( Get_FileExt(FindData.name, ".doc") || Get_FileExt(FindData.name, ".docx") || Get_FileExt(FindData.name, ".xls") || Get_FileExt(FindData.name, ".xlsx") || Get_FileExt(FindData.name, ".pdf") ) { Remove_from_Queue(v4, "%s%s", path_to_dir, FindData.name); Do_Encrypt(v4); sub_458AF0("%s%s\n"); } } while ( !j___findnext64i32(FindHandle, &FindData) ); j___findclose(FindHandle); return 0; } int __cdecl sub_45FB60(char a1) // Inside Do_Encrypt { sub_45B561((int)v5, "%s%s", a1, ".encrypt"); sub_45B561((int)FileName, "%s", a1); v8 = j__fopen(FileName, "rb"); Stream = j__fopen(v5, "ab"); j__fseek(v8, 0, 2); ElementCount = j__ftell(v8); Buffer = j__malloc(ElementCount); j__fseek(v8, 0, 0); j__fread(Buffer, 1u, ElementCount, v8); for ( i = 0; i |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |