总体来说不难,就是题目和检材不是很照应,感觉有点乱
官方wp指路微信公众号:网络安全与取证研究
看完官方wp后,感觉有几题的答案只有用中科实数的工具才能取出来
检材解压密码:欢迎参加第五届中科实数杯
第五届“中科实数杯”全国电子数据取证与司法鉴定挑战赛山西省公安机关接到线报,有一伙人长期从事盗墓和贩售文物活动,形成了一条龙的犯罪链条。经过数月侦察,警方掌握了该团伙的核心成员信息,并成功在一次交易中将多名嫌疑人抓获,现场扣押了大量文物及嫌疑人手机,并在突击审讯后在其老巢起获了多台笔记本电脑及电子存储设备。现需要对这些设备进行全面取证分析,以获得更多犯罪证据,彻底摧毁这一犯罪网络检材清单:经山西省公安厅司法鉴定中心甄别及结合前期侦察、审讯。
涉案检材清单如下:
1、犯罪嫌疑人张老四的iphone手机备份一个;
2、犯罪嫌疑人王胖子的安卓手机备份一个;
3、犯罪窝点起获的windows笔记本电脑A镜像一个;
4、犯罪窝点起获的macbook笔记本电脑B镜像一个;
5、犯罪窝点笔记本电脑A内存镜像一份;
6、后期归案的犯罪嫌疑人大金牙工作安卓手机备份一个;
7、犯罪窝点的u盘镜像一个;
8、后期归案的犯罪嫌疑人眼镜仔工作iphone手机备份一个
检材1
1、检材1-的手机序列号是?(1分)
C39QTS9JGRX5
2、检材1-的备份时间是?(格式:yyyy-mm-dd HH:mm:ss)(2分)
2024-07-11 02:09:02
2024-07-10T18:09:02Z +8 = 2024-07-11 02:09:02
3、检材1-最近使用的APP是?(应用名称)(1分)
高德地图
官方wp
19、盗墓团伙最近一次盗墓日期是?(格式:yyyymmdd)(3分)
20140712
直接看应用下对应的数据库即可快速判断通讯APP是铛铛
20、盗墓团伙最近一次盗的墓名是?(3分)
王墓坡
27、大金牙的真实姓名可能是?(3分)
21题中大金牙的电话号码是13913913916,搜通讯录可知姓名,来自官方wp
33、盗墓地点的GPS经纬度(格式:经度xx,xx,xx,纬度xx,xx,xx)(1分)
经度112,36,57,纬度37,50,45
检材2中backup_image.zip解压出三张图,应该是对应聊天记录中的三张图
34、盗墓前集合地的GPS经纬度(格式:经度xx,xx,xx,纬度xx,xx,xx)(1分)
经度112,36,53,纬度37,47,51
35、盗墓后集合地的GPS经纬度(格式:经度xx,xx,xx,纬度xx,xx,xx)(1分)
经度112,36,52,纬度37,47,51
检材2
4、检材2-即时聊天工具有哪些?(2分)
MOMO陌陌、QQ、城信、微信、铛铛
5、检材2-盗墓团伙之间的通讯APP版本是多少?(格式:x.x.x)(1分)
3.0.36
检材1中也有通讯APP,通过查看检材1的通讯APP的数据库,可以判断团伙使用的通讯APP就是铛铛,检材2中数据库在检材2.tar/检材2/铛铛(com.aladdin.dangdang).bak/apps/com.aladdin.dangdang/db/aladdin_im_datas.db
6、检材2-盗墓团伙抱怨的工具有哪些(2分)
铲子、绳子、电筒、指南针
7、检材2-盗墓团伙之间的通讯APP证书指纹SHA256值是多少?(格式:xx:xx...或xxxx...)(5分)
感谢WANGJQ2011师傅的分享,把铛铛的apk导出之后,用Apk Messenger扫一下就出
我的是4.3版本的,不知道为什么没有扫出来,3.0版本的直接出
用弘连也行,注意格式
检材3
45、检材3-BitLocker恢复密钥(5分)
010461-617507-553498-499752-253286-356334-124773-180169
有内存镜像用passware跑
8、检材3-硬盘的MD5值(1分)
01A2CDF623353043053ED37A7519265B
9、检材3-硬盘系统分区的起始位置(1分)
344981504
官方wp是014900000
10、检材3-系统的当前版本是多少(1分)
10
官方wp是22H2
11、检材3-Edge浏览器最后一次搜索过的关键词是什么(1分)
狼眼手电
12、检材3-Edge浏览器最后一次访问过的与盗墓及文物有关的网站URL(1分)
https://baijiahao.baidu.com/s?id=1599783184726705131
13、检材3-主用户的NT密码哈希值(2分)
a0bad269b8d49ccf481513f9875be4c7
24、检材3-系统登陆密码(5分)
20242024
hashcat也能爆,来自官方wp
检材4
14、检材4-Mac OS的版本号(格式:x.x.x)(1分)
12.7.5
15、检材4-加密货币软件的名字(1分)
OKX
16、检材4-Safari浏览器最后一次搜索过的关键词是什么(1分)
洛阳铲
17、检材4-MacBook pro最后一次访问的文件名(2分)
提示.doc
感谢WANGJQ2011师傅的分享,检材4-MacBook pro是mac和windows双系统,看弘连更准确
18、检材4-Edge浏览器最后一次访问过的与盗墓及文物有关的网站(2分)
文物流转站聊天室.html
21、大金牙的手机号码是什么?(5分)
13913913916
在文物流转站聊天室.html中
眼镜仔手机备份
28、盗墓团伙要求用什么的虚拟货币交易?(字母简称,例:BTC、ETH)(3分)
MATIC
检材4中有一个手机备份
取证需要ios备份密码,6位纯数字爆破Manifest.plistpassware kit forensic、hashcat使用-CSDN博客
解开后发现是眼镜仔的iPhone备份
29、该案件中,谁是文物贩子?(3分)
大金牙
大金牙从盗墓团队这里收文物
再转卖给外国人
30、盗墓团伙最近一次交易的文物有几个?(5分)
5
202407.rar里有5个文物,7张图包括两个正反面,解压密码跟上次一样:yjz_18022462024
31、盗墓团伙最近两次的交易金额是多少?(例:250 BTC)(3分)
188000MATIC
第一次8.8W,第二次10W,28题有虚拟货币的单位
检材7
22、检材7-虚拟货币钱包的地址(5分)
1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2
检材4中提示.doc中写虚拟货币钱包地址写在U盘的一个doc文件中,没找到
直接暴搜,钱包地址:1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2
23、检材7-虚拟货币助记词(5分)
love can play games tomorrow money
加密的文件
密码提示在在文物流转站聊天室.html中,眼睛仔喜欢设置自己的密码为8位纯数字,爆破一下,密码是20241234
检材6
36、检材6-中最近一次呼入的号码是?(1分)
9528207
37、检材6-浏览器第一次搜索的内容是?(1分)
隐写工具
38、检材6-手机所使用的翻越APP是?(1分)
Clash
题目不改会被ban,审核这么严的么
39、检材6-翻越APP所使用的订阅地址是?(1分)
https://miaomiao.xn--7rs48z0nlr6hc8cqz4a.com/api/v1/client/subscribe?token=1357e1cbda597141d15ae689b3d470d7
题目不改会被ban
40、检材6-手机上安装了哪些隐写工具?(1分)
Steganography、Stegais
25、该案件中,文物贩子的买家有谁?(给出对应账号名)(3分)
James、David
26、该案件中,文物贩子与买家的通讯APP的包名是?(3分)
org.telegram.messenger.web
用telegram通讯的
32、该案件中,文物贩子卖出的文物名为“SX-WW-202407001”价格是多少?(5分)
68600ETH
聊天记录中显示文物贩子与James交易一个
与David交易两个
在两次交易的聊天记录中都说了一句价格在照片里,应该是隐写,在检材6中有backup_image.zip,解压有照片在stegais文件夹下,确定是隐写
开个模拟器,将stegais安装进去,将图片共享进去,分离信息
与james交易的文物,
Name: SX-WW-202406026
Price: 25300BTC
与David交易的文物
Name: SX-WW-202405073
Price: 58000ETH
Name: SX-WW-202407001
Price: 68600ETH
检材8
41、检材8-使用的苹果账号是?(1分)
rdmf_top@163.com
42、检材8-系统版本是?(x.x.x)(1分)
17.5.1
43、检材8-使用的WiFi网络名为“大兄弟的网络”的MAC地址是?(例:xx:xx...)(2分)
5e:37:7d:2a:47:5e
暴搜
44、检材8-手机IMEI是?(1分)
357272092128408
扫一扫
8585
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
