2024盤古石晉級賽

服務(wù)器取證

1.分析內(nèi)部IM服務(wù)器檢材，在搭建的內(nèi)部即時(shí)通訊平臺中，客戶端與服務(wù)器的通訊端口是：[答案格式：8888][★☆☆☆☆]

結(jié)果為8065

2.分析內(nèi)部IM服務(wù)器檢材，該內(nèi)部IM平臺使用的數(shù)據(jù)庫版本是： [答案格式：12.34][★★☆☆☆]

docker inspect 64，連接的是postgresql

結(jié)果為12.18

3.分析內(nèi)部IM服務(wù)器檢材，該內(nèi)部IM平臺中數(shù)據(jù)庫的名稱是：[答案格式：小寫][★★☆☆☆]

結(jié)果為mattermost_test

4.分析內(nèi)部IM服務(wù)器檢材，該內(nèi)部IM平臺中當(dāng)前數(shù)據(jù)庫一共有多少張表：[答案格式：1][★★☆☆☆]

navicat走ssh隧道連接到數(shù)據(jù)庫，賬號密碼，端口都是有的

結(jié)果為82

5.分析內(nèi)部IM服務(wù)器檢材，員工注冊的邀請鏈接中，邀請碼是：[答案格式：小寫數(shù)字字母][★★★☆☆]

一眼Bcrypt，替換即可

登上去可以改語言為中文

數(shù)據(jù)庫中是在team表

結(jié)果為54d916mu6p858bbyz8f88rmbmc

6.分析內(nèi)部IM服務(wù)器檢材，用戶yiyan一共給fujiya發(fā)送了幾個(gè)視頻文件：[答案格式：數(shù)字][★★★☆☆]

結(jié)果為2

7.分析內(nèi)部IM服務(wù)器檢材，用戶yiyan在團(tuán)隊(duì)群組中發(fā)送的視頻文件的MD5值是：[答案格式：小寫][★★★☆☆]

fileinfo中沒有記錄哈希值，那就直接下載計(jì)算

結(jié)果為f8adb03a25be0be1ce39955afc3937f7

8.分析內(nèi)部IM服務(wù)器檢材，一個(gè)團(tuán)隊(duì)中允許的最大用戶數(shù)是：[答案格式：數(shù)字][★★★★☆]

登錄gxyt，這個(gè)賬號是管理員權(quán)限

結(jié)果為50

9.分析內(nèi)部IM服務(wù)器檢材，黑客是什么時(shí)候開始攻擊：[答案格式：2024-01-01-04-05][★★★☆☆]

密碼爆破

結(jié)果為2024-04-25-07-33

10.分析網(wǎng)站服務(wù)器檢材，網(wǎng)站搭建使用的服務(wù)器管理軟件當(dāng)前版本是否支持32位系統(tǒng)：[答案格式：是/否][★☆☆☆☆]

檢測到寶塔，寶塔新版已經(jīng)不支持32位，這里進(jìn)行了密碼解密操作，版本較新

結(jié)果為否

11.分析網(wǎng)站服務(wù)器檢材，數(shù)據(jù)庫備份的頻率是一周多少次：[答案格式：1][★★☆☆☆]

寶塔計(jì)劃任務(wù)里沒有

直接看系統(tǒng)的，可以看到cron表達(dá)式為0 0 * * 0，每周一次

結(jié)果為1

12.分析網(wǎng)站服務(wù)器檢材，數(shù)據(jù)庫備份生成的文件的密碼是：[答案格式：admin][★★☆☆☆]

先用aes對數(shù)據(jù)庫名進(jìn)行加密，生成了一個(gè)密碼，用該密碼對備份文件進(jìn)行des3加密

打印密碼為IvPGP/8vfTLtzQfJTmQhYg==

解密成功openssl des3 -d -k IvPGP/8vfTLtzQfJTmQhYg== -in ./backup/2828.sql.gz -out ./1.sql.gz

但是由于實(shí)際加密的密碼是aes生成的，所以我覺得答哪個(gè)都行

結(jié)果為IvPGP/8vfTLtzQfJTmQhYg==或mysecretpassword

13.分析網(wǎng)站服務(wù)器檢材，網(wǎng)站前臺首頁的網(wǎng)站標(biāo)題是：[答案格式：百度][★★★☆☆]

結(jié)果為威尼斯

14.分析網(wǎng)站服務(wù)器檢材，受害人第一次成功登錄網(wǎng)站的時(shí)間是：[答案格式：2024-01-01-04-05][★★★☆☆]

將恢復(fù)出的備份文件導(dǎo)入數(shù)據(jù)庫

受害人支婉靜

結(jié)果為2024-04-25 09:49:38

15.分析網(wǎng)站服務(wù)器檢材，前臺頁面中，港澳數(shù)字競猜游戲中，進(jìn)入貴賓廳最低點(diǎn)數(shù)是：[答案格式：1234][★★★☆☆]

找個(gè)賬號登錄

結(jié)果為100000

16.分析網(wǎng)站服務(wù)器檢材，受害人在平臺一共盈利了多少錢：[答案格式：12][★★☆☆☆]

結(jié)果為35000

17.分析網(wǎng)站服務(wù)器檢材，網(wǎng)站根目錄下，哪個(gè)路徑存在漏洞：[答案格式：/Admin/User/register.php][★★★☆☆]

定位一下時(shí)間

日志過濾一下

結(jié)果為/Home/User/tkpwdpost.html

18.分析網(wǎng)站服務(wù)器檢材，黑客通過哪個(gè)文件上傳的木馬文件：[答案格式：test.php][★☆☆☆☆]

一句話木馬，同樣根據(jù)時(shí)間過濾

結(jié)果為tmpugklv.php

19.分析網(wǎng)站服務(wù)器檢材，網(wǎng)站使用的數(shù)據(jù)庫前綴是：[答案格式：test_][★☆☆☆☆]

結(jié)果為think_

20.分析網(wǎng)站服務(wù)器檢材，木馬文件的密碼是：[答案格式：123] [★☆☆☆☆]

結(jié)果為2335

手機(jī)取證

1.分析伏季雅的手機(jī)檢材，手機(jī)的安卓ID是：[答案格式：小寫字母和數(shù)字][★☆☆☆☆]

/data/system/users/0/settings_secure.xml，這個(gè)和pgs提取的deviceinfo不一樣，我感覺還是以這個(gè)為準(zhǔn)

結(jié)果為9e6c9838dafe7ba0

2.分析伏季雅的手機(jī)檢材，手機(jī)型號是：[答案格式：HUAWEI-FL56T][★☆☆☆☆]

/Basic/deviceinfo.json，很多app都會獲取手機(jī)型號并保存，其實(shí)很容易就可以找到

結(jié)果為SM-G996N

*3.分析伏季雅的手機(jī)檢材，其和受害人視頻通話的時(shí)間是：[答案格式：2024-01-01-04-05][★☆☆☆☆]

QQ還不會解密

結(jié)果為2024-04-24-20-46

4.分析伏季雅的手機(jī)檢材，手機(jī)中安裝了一款記賬APP，該記賬APP存儲記賬信息的數(shù)據(jù)庫名稱是：[答案格式：abcabc，區(qū)分大小寫][★☆☆☆☆]

/Basic/appinfo/appinfo.db有提取好的應(yīng)用列表，找到安裝目錄/data/app/~~akrBLIe0ld69axOMk2LU3Q==/com.bookmark.money--0EFSy2wOCjMfqMZWekGBQ==/base.apk和包名

結(jié)果為MoneyLoverS2

5.接上題，該記賬APP登錄的郵箱賬號是：[答案格式：abc@abc.com][★★★☆☆]

結(jié)果為carleenloydlyis40@gmail.com

6.接上題，該記賬APP中記錄的所有收入金額合計(jì)是：[答案格式：1234][★★★☆☆]

select sum(amount) from transactions where cat_id in (select cat_id from categories where cat_type=1)

結(jié)果為279002

7.接上題，分析該記賬APP中的消費(fèi)記錄，統(tǒng)計(jì)從2022-3-1（含）到2023-12-1（含）期間，用于交通的支出費(fèi)用合計(jì)是：[答案格式：1234][★★★☆☆]

select sum(amount) from transactions where cat_id in (select cat_id from categories where cat_name='交通') and created_date >= '2022-03-01' and created_date <= '2023-12-01'

結(jié)果為6042

8.分析毛雪柳的手機(jī)檢材，手機(jī)中有一個(gè)記賬APP，該APP的應(yīng)用名稱是：[答案格式：Telegram，區(qū)分大小寫][★☆☆☆☆]

結(jié)果為iCost

9.分析義言的手機(jī)檢材，手機(jī)中登錄的谷歌郵箱賬號是：[答案格式：abc@gmail.com][★★☆☆☆]

直接看gmail郵箱

結(jié)果為a2238346317@gmail.com

10.分析義言的手機(jī)檢材，手機(jī)的MTP序列號是：[答案格式：大寫字母和數(shù)字][★★☆☆☆]

/Basic/Adlockdown.json

結(jié)果為FA6A80312283

11.分析義言的手機(jī)檢材，除系統(tǒng)自帶的瀏覽器外，手機(jī)中安裝了一款第三方瀏覽器，該瀏覽器的應(yīng)用名稱是：[答案格式：百度瀏覽器][★★☆☆☆]

/Basic/appinfo/appinfo.db

結(jié)果為悟空瀏覽器

12.接上題，上述瀏覽器最后一次搜索的關(guān)鍵字是：[答案格式：百度][★★☆☆☆]

/data/data/com.cat.readall/databases/news_article.db

結(jié)果為ai寫文章生成器

13.接上題，該瀏覽器最后一次收藏的網(wǎng)址是：[答案格式：https://baidu.com/acc/123412341234123/][★★★☆☆]

結(jié)果為https://toutiao.com/group/7355674494453727744/

14.分析義言的手機(jī)檢材，其所購買的公民信息數(shù)據(jù)，該數(shù)據(jù)提供者的手機(jī)號碼是：[答案格式：13012341234][★☆☆☆☆]

結(jié)果為13265159824

15.接上題，賣家的收款地址：[答案格式：小寫字母和數(shù)字][★☆☆☆☆]

結(jié)果為bc1pvunxx2eyt0ljpzs9wp9tcrrdvssra97nnwls5463hxpf3xm69zms3yak85

16.接上題，購買上述公民信息，義言一共支付了多少錢：[答案格式：0.000123BTC][★☆☆☆☆]

根據(jù)交易哈希查詢，用歐易比較方便

結(jié)果為0.07364352BTC

17.接上題，該筆交易產(chǎn)生的手續(xù)費(fèi)是多少：[答案格式：0.000123BTC][★★☆☆☆]

結(jié)果為0.00006105BTC

人工智能取證

1.分析義言的計(jì)算機(jī)檢材，一共訓(xùn)練了多少個(gè)聲音模型：[答案格式：123][★★☆☆☆]

其實(shí)你可以從后面的問題推出來

結(jié)果為4

2.分析義言的計(jì)算機(jī)檢材，聲音模型voice2，一共訓(xùn)練了多少條聲音素材：[答案格式：123][★★☆☆☆]

345每個(gè)都是17

結(jié)果為17

3.分析義言的計(jì)算機(jī)檢材，聲音模型voice3，一共訓(xùn)練了多少輪：[答案格式：123][★★★☆☆]

看train.log

結(jié)果為8

4.分析義言的計(jì)算機(jī)檢材，聲音克隆工具推理生成語音界面的監(jiān)聽端口是：[答案格式：1234][★★★★☆]

config.py

結(jié)果為9874

*5.分析義言的計(jì)算機(jī)檢材，電腦中視頻文件有幾個(gè)被換過臉：[答案格式:10][★★★★★]

輸出目錄只有1個(gè)，但應(yīng)該是由日志文件的吧？

看配置文件，上次還有保存目錄（是否有其他容器或者密碼沒用弄到）

容器中的文件被加密，軟件應(yīng)該是BitLocker里的encrypt.exe，逆一下

然后用pycdc或者在線工具反編譯z.pyc（pycdc重建邏輯會失敗，pycdc反編譯請查看pycdc不支持的字節(jié)碼處理 - WXjzc - 博客園 (cnblogs.com)，建議用在線工具或者pycdas看指令）

# -*- coding: utf8 -*-
#! /usr/bin/env  3.8.0 (3413)
#coding=utf-8
#source path: z.py
#Compiled at: 1970-01-01 00:00:00
#Powered by BugScaner
#http://tools.bugscaner.com/
#如果覺得不錯(cuò),請分享給你朋友使用吧!
import os
 
def xor_process(O0OOO0O0000O000O0, O0OOOOO0OOOO00000):
    try:
        with open(O0OOO0O0000O000O0, 'rb') as (O0000O0O0000O000O):
            O0O0OOO0OOO00OOOO = O0000O0O0000O000O.read()
        O00000O00OOOO0O00 = os.path.splitext(os.path.basename(O0OOO0O0000O000O0))[0]
        O0000O0OOO00OO000 = bytearray()
        for OOO0O0000OOOO0O0O in range(len(O0O0OOO0OOO00OOOO)):
            O0000O0OOO00OO000.append(O0O0OOO0OOO00OOOO[OOO0O0000OOOO0O0O] ^ ord(O00000O00OOOO0O00[OOO0O0000OOOO0O0O % len(O00000O00OOOO0O00)]))
        else:
            O00000O00OO0OOO0O = os.path.join(O0OOOOO0OOOO00000, f"{O00000O00OOOO0O00}-cn{os.path.splitext(O0OOO0O0000O000O0)[1]}")
            with open(O00000O00OO0OOO0O, 'wb') as (OO00000O000O00OO0):
                OO00000O000O00OO0.write(O0000O0OOO00OO000)
            print(f"文件 {O0OOO0O0000O000O0} 處理成功！")
 
    except Exception as OOO0000OOO0O0O0O0:
        try:
            print(f"處理文件 {O0OOO0O0000O000O0} 出錯(cuò)：{OOO0000OOO0O0O0O0}")
        finally:
            OOO0000OOO0O0O0O0 = None
            del OOO0000OOO0O0O0O0
 
 
if __name__ == '__main__':
    folder_path = input('請輸入要處理的文件夾路徑：')
    output_folder = input('請輸入要保存處理結(jié)果的文件夾路徑：')
    if not os.path.exists(output_folder):
        os.makedirs(output_folder)
    for root, _, files in os.walk(folder_path):
        for file in files:
            file_path = os.path.join(root, file)
            xor_process(file_path, output_folder)

把混淆的代碼簡單處理一下，xor加密

def xor_process(file_path, output_folder):
    try:
        with open(file_path, 'rb') as (fr):
            file_data = fr.read()
        file_name = os.path.splitext(os.path.basename(file_path))[0]
        #file_name = file_name.replace('-cn','')
        xor_data = bytearray()
        for i in range(len(file_data)):
            xor_data.append(file_data[i] ^ ord(file_name[i % len(file_name)]))
        else:
            output_file = os.path.join(output_folder, f"{file_name}-cn{os.path.splitext(file_path)[1]}")
            with open(output_file, 'wb') as (fw):
                fw.write(xor_data)
            print(f"文件 {file_path} 處理成功！")
 
    except Exception as e:
        try:
            print(f"處理文件 {file_path} 出錯(cuò)：{e}")
        finally:
            e = None
            del e

生成文件的時(shí)候，文件名被添加了-cn，所以第5行后面要加一行file_name = file_name.replace('-cn','')

通過分析視頻的exif信息來判斷

寫個(gè)腳本測試一下，不要忘了一開始的那個(gè)

import os

files = os.listdir('./decrypt')
cnt = 0
for file in files:
    if file.endswith('.mp4'):
        with open('./decrypt/' + file, 'rb') as fr:
            data = fr.read()[:256]
            if data.__contains__(b'options'):
                cnt += 1
                print(file)
print(cnt)
# cnt=35

結(jié)果為36

6.分析義言的計(jì)算機(jī)檢材，換臉AI程序默認(rèn)換臉視頻文件名是：[答案格式：test.mp4][★★☆☆☆]

結(jié)果為target-1080p.mp4

7.分析義言的計(jì)算機(jī)檢材，換臉AI程序默認(rèn)換臉圖片的文件名稱：[答案格式：abc.abc][★★☆☆☆]

結(jié)果為fc3d6cb14c0d4e52adcf8717f2740b5c.jpeg

8.分析義言的計(jì)算機(jī)檢材，換臉AI程序模型文件數(shù)量是多少個(gè)：[答案格式：10][★★☆☆☆]

結(jié)果為15

計(jì)算機(jī)取證

1.分析伏季雅的計(jì)算機(jī)檢材，計(jì)算機(jī)最后一次錯(cuò)誤登錄時(shí)間是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

安全日志，事件ID4625

結(jié)果為2024-04-25-09-53-24

2.分析伏季雅的計(jì)算機(jī)檢材，計(jì)算機(jī)中曾經(jīng)瀏覽過的電影名字是：[答案格式：《奧本海默》] [★☆☆☆☆]

還以為是本地看的呢，找半天。

谷歌瀏覽器C:\Users\gaotao\AppData\Local\Google\Chrome\User Data\Default\History

結(jié)果為《墜落的審判》

3.分析伏季雅的計(jì)算機(jī)檢材，計(jì)算機(jī)中團(tuán)隊(duì)內(nèi)部即時(shí)通訊軟件的最后一次打開的時(shí)間是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

C:\Windows\Prefetch\MATTERMOST.EXE-22E9A292.pf

結(jié)果為2024-04-26-17-13-02

4.分析伏季雅的計(jì)算機(jī)檢材，計(jì)算機(jī)中有一款具備虛擬視頻功能的軟件，該軟件合計(jì)播放了多少個(gè)視頻：[答案格式：3][★☆☆☆☆]

edge歷史記錄，找到軟件MVBOX

結(jié)果為1

5.接上題，該軟件的官網(wǎng)地址是：[答案格式：https://www.baidu.com][★☆☆☆☆]

結(jié)果為https://www.mvbox.cn

6.接上題，該軟件錄制數(shù)據(jù)時(shí)，設(shè)置的幀率是：[答案格式：20][★☆☆☆☆]

結(jié)果為15

7.分析伏季雅的計(jì)算機(jī)檢材，在團(tuán)隊(duì)內(nèi)部使用的即時(shí)通訊軟件中，其一共接收了多少條虛擬語音：[答案格式：2][★☆☆☆☆]

在IM服務(wù)器里能看到有4個(gè)，但是懶得再打開截圖了

結(jié)果為4

*8.分析毛雪柳的計(jì)算機(jī)檢材，計(jì)算機(jī)插入三星固態(tài)盤的時(shí)間是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

時(shí)間我不知道從哪提取，而且各家分析結(jié)果都有差異

結(jié)果為2024-04-25-19-07-58

9.分析毛雪柳的計(jì)算機(jī)檢材，計(jì)算機(jī)操作系統(tǒng)當(dāng)前的Build版本是：[答案格式：17786][★☆☆☆☆]

結(jié)果為19045

10.分析毛雪柳的計(jì)算機(jī)檢材，團(tuán)隊(duì)內(nèi)部使用的即時(shí)通訊軟件在計(jì)算機(jī)上存儲日志的文件名是：[答案格式：log.log，區(qū)分大小寫][★☆☆☆☆]

結(jié)果為main.log

11.分析毛雪柳的計(jì)算機(jī)檢材，伏季雅一月份實(shí)發(fā)工資的金額是：[答案格式：1234][★★★☆☆]

回收站，xlsx加密，doc中有密碼但是打不開

手機(jī)照片有密碼/private/var/mobile/Media/DCIM/100APPLE/IMG_0008.HEIC

結(jié)果為9500

12.分析毛雪柳的計(jì)算機(jī)檢材，該團(tuán)伙三月份的盈余多少：[答案格式：1234][★★★☆☆]

結(jié)果為158268

13.分析義言的計(jì)算機(jī)檢材，計(jì)算機(jī)連接過的三星移動硬盤T7的序列號是：[答案格式：大寫字母和數(shù)字][★☆☆☆☆]

取反，但我不知道為什么要取反

結(jié)果為X12720BR0SNWT6S

14.分析義言的計(jì)算機(jī)檢材，計(jì)算機(jī)的最后一次正常關(guān)機(jī)時(shí)間是：[答案格式：2024-01-01-04-05-06][★☆☆☆☆]

結(jié)果為2024-04-28-18-51-56

15.分析義言的計(jì)算機(jī)檢材，曾經(jīng)使用工具連接過數(shù)據(jù)庫，該數(shù)據(jù)庫的密碼是：[答案格式：admin][★☆☆☆☆]

結(jié)果為root

16.分析義言的計(jì)算機(jī)檢材，計(jì)算機(jī)中安裝的xshell軟件的版本號是：[答案格式：Build-0000][★☆☆☆☆]

用apk最后一題中解出的密鑰解密bitlocker，xshell就在里面，運(yùn)行查看版本

結(jié)果為Build-0157

17.分析義言的計(jì)算機(jī)檢材，曾使用shell工具連接過服務(wù)器，該服務(wù)器root用戶的密碼是：[答案格式：admin]

finalshell的conn目錄在bitlokcer中

結(jié)果為root

18.分析義言的計(jì)算機(jī)檢材，計(jì)算機(jī)曾接收到一封釣魚郵件，該郵件發(fā)件人是：[答案格式： abc@abc.abc]

網(wǎng)易郵箱大師（有逆天仔刪郵件，僅主機(jī)模式仿真）

結(jié)果為838299176@qq.com

19.接上題，釣魚郵件中附件的大小是多少M(fèi)B：[答案格式：12.3][★★☆☆☆]

結(jié)果為2.4

20.接上題，上述附件解壓運(yùn)行后，文件的釋放位置是：[答案格式：D:\Download\test][★★☆☆☆]

結(jié)果為C:\Windows\Temp

21.接上題，惡意木馬文件的MD5 值是：[答案格式：小寫][★★☆☆☆]

結(jié)果為1877379d9e611ea52befbbe2c2c77c55

22.接上題，惡意木馬文件的回連IP地址是：[答案格式：127.0.0.1][★★☆☆☆]

結(jié)果為192.168.137.77

23.分析義言的計(jì)算機(jī)檢材，計(jì)算機(jī)中保存的有隱寫痕跡的文件名：[答案格式：abc.abc][★★★☆☆]

回收站有一個(gè)lsb_hide（怎么老用這個(gè)）

提取后得到RR%#CBSf7uYLQ#28bywT

結(jié)果為a78bd8b5bec5f60380782bd674c7443p.bmp

24.分析義言的計(jì)算機(jī)檢材，保存容器密碼的文件大小是多少字節(jié)：[答案格式：123][★★★☆☆]

用上面的密碼掛載容器

結(jié)果為20

25.分析義言的計(jì)算機(jī)內(nèi)存檢材，該內(nèi)存鏡像制作時(shí)間(UTC+8)是：[答案格式：2024-01-01-04-05][★★☆☆☆]

要跑蠻久的

結(jié)果為2024-04-25-14-18

26.分析義言的計(jì)算機(jī)內(nèi)存檢材，navicat.exe的進(jìn)程ID是：[答案格式：123][★★☆☆☆]

結(jié)果為9336

IPA

1.分析毛雪柳的手機(jī)檢材，記賬APP存儲記賬信息的數(shù)據(jù)庫文件名稱是：[答案格式：tmp.db，區(qū)分大小寫][★★★★☆]

找到應(yīng)用目錄

結(jié)果為default.realm

2.分析毛雪柳的手機(jī)檢材，記賬APP中，2月份總收入金額是多少：[答案格式：1234][★★★★★]

使用Realm Studio查看（這軟件真傻b）過濾器type=1 and timestamp >= 1706716800000 and timestamp <= 1709222400000

結(jié)果為11957

3.分析毛雪柳的手機(jī)檢材，手機(jī)中團(tuán)隊(duì)內(nèi)部使用的即時(shí)通訊軟件中，團(tuán)隊(duì)老板的郵箱賬號是：[答案格式：abc@abc.com][★★★☆☆]

同樣找數(shù)據(jù)目錄

從聊天記錄中判斷，gxyt更像老板（IM服務(wù)器中，該賬號是管理員權(quán)限）

結(jié)果為gxyt@163.com

4.接上題，該內(nèi)部即時(shí)通訊軟件中，毛雪柳和老板的私聊頻道中，老板加入私聊頻道的時(shí)間是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

結(jié)果為2024-04-24-11-59-28

5.接上題，該私聊頻道中，老板最后一次發(fā)送聊天內(nèi)容的時(shí)間是：[答案格式：2024-01-01-04-05-06][★★★☆☆]

留意一下發(fā)送人就可以

結(jié)果為2024-04-25-10-24-50

APK

1.分析伏季雅的手機(jī)檢材，手機(jī)中詐騙APP的包名是：[答案格式：abc.abc.abc，區(qū)分大小寫][★☆☆☆☆]

根據(jù)服務(wù)器來判斷，找到安裝路徑/data/app/~~d5RswGhjSpfSed0RAXePlw==/w2a.W2Ah5.jsgjzfx.org.cn-58F4wvNvru38kmiI8vjw9A==/base.apk

結(jié)果為w2a.W2Ah5.jsgjzfx.org.cn

2.分析伏季雅的手機(jī)檢材，手機(jī)中詐騙APP連接的服務(wù)器地址是：[答案格式：127.0.0.1][★☆☆☆☆]

其實(shí)走服務(wù)器也可以看出來，有ip地址信息遺留的

結(jié)果為192.168.137.125

3.分析伏季雅的手機(jī)檢材，手機(jī)中詐騙APP的打包ID是：[答案格式：_abc_abc.abc，區(qū)分大小寫][★☆☆☆☆]

結(jié)果為__W2A__h5.jsgjzfx.org.cn

4.分析伏季雅的手機(jī)檢材，手機(jī)中詐騙APP的主啟動項(xiàng)是：[答案格式：abc.abc.abc，區(qū)分大小寫][★☆☆☆☆]

結(jié)果為io.dcloud.PandoraEntry

5.分析義言的手機(jī)檢材，分析團(tuán)隊(duì)內(nèi)部使用的即時(shí)通訊軟件，該軟件連接服務(wù)器的地址是：[答案格式：127.0.0.1][★★☆☆☆]

做服務(wù)器已經(jīng)知道是這個(gè)

/data/data/com.mattermost.rn/files/databases/app.db

結(jié)果為192.168.137.97

6.接上題，該軟件存儲聊天信息的數(shù)據(jù)庫文件名稱是：[答案格式：abc.abc，區(qū)分大小寫][★★☆☆☆]

/data/data/com.mattermost.rn/files/databases/aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

似乎文件名是服務(wù)器地址的base64

結(jié)果為aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

7.接上題，該即時(shí)通訊軟件中，團(tuán)隊(duì)內(nèi)部溝通群中，一共有多少個(gè)用戶：[答案格式：1][★★☆☆☆]

結(jié)果為6

8.接上題，該即時(shí)通訊應(yīng)用的版本號是：[答案格式：1.1.1][★★☆☆☆]

結(jié)果為2.15.0

9.接上題，該即時(shí)通訊應(yīng)用中，團(tuán)隊(duì)內(nèi)部溝通中曾發(fā)送了一個(gè)視頻文件，該視頻文件發(fā)送者的用戶名是：[答案格式：abc][★★★★☆]

結(jié)果為yiyan

10.接上題，分析該即時(shí)通訊的聊天記錄，團(tuán)隊(duì)購買了一個(gè)高性能顯卡，該顯卡的顯存大小是：[答案格式：20G][★★☆☆☆]

結(jié)果為24G

11.分析義言的手機(jī)檢材，手機(jī)中裝有一個(gè)具備隱藏功能的APP，該APP啟動設(shè)置了密碼，設(shè)置的密碼長度是多少位：[答案格式：5][★★★★☆]

一眼頂針包名com.hld.anzenbokusufake

通過對代碼進(jìn)行分析，得知重要數(shù)據(jù)都存儲在share_privacy_safe.xml中，且被aes加密

密鑰生成方式固定（部分方法被重命名）

getKey經(jīng)測試，返回值固定

得到aeskeyRny48Ni8aPjYCnUI，key和iv相同

結(jié)果為9

12.接上題，分析上述隱藏功能的APP，一共隱藏了多少個(gè)應(yīng)用：[答案格式：1][★★★★☆]

data目錄下沒有找到對應(yīng)數(shù)據(jù)庫，簡單搜索一下，就能找到數(shù)據(jù)庫目錄data/media/0/.privacy_safe/db/privacy_safe.db

加密數(shù)據(jù)庫，密碼就是上面的aeskey，sqlcihper3

結(jié)果為5

13.接上題，分析上述隱藏功能的APP，該APP一共加密了多少個(gè)文件：[答案格式：][★★★★☆]