2024年獬豸杯

2024年獬豸杯（解压密码：都考100分）

手机备份包

手机文件名都是标识名，可以通过Manifest.db查找

手机基本信息

1、IOS手机备份包是什么时候开始备份的。（标准格式：2024-01-20.12:12:12)从备份包的文件名就可以看到

另一种看法：
文件目录下有一个log文件

看log文件的创建时间
答案：2024-01-15.14:19:44

2、请分析，该手机共下载了几款即时通讯工具。（标准格式：阿拉伯数字）用火眼分析镜像，应用列表过滤，可以找到两款qq和陌陌

还有一款--小西米语音—在线连麦社交平台，火眼将其归类为其他应用类型但是从他的用处来看，有即时通讯的功能，这里不能只靠自动化分析
答案：3

3、手机机主的号码得ICCID是多少。（标准格式：阿拉伯数字）火眼分析的设备信息就可以看到

路径：WirelessDomain/Library/Preferences/com.apple.commcenter.plist

答案：89860320245121150689

4、手机机主登录小西米语音的日期是什么时候。（标准格式：20240120）
这道题只要求日期，通过短信验证码就可以得到答案

wp中提到可以通过授权日志去看

答案：20240115

5、请问嫌疑人家庭住址在哪个小区。（标准格式：松泽家园）在高德地图的自驾路线就可以找到

答案：天铂华庭

浏览器

1、Safari浏览器书签的对应数据库名称是什么。（标准格式：sqltie.db)
找到safari中的书签记录，再跳转到源文件，书签记录都存在同一个数据库中
答案：Bookmarks.db

2、手机机主计划去哪里旅游。（标准格式：苏州）
当时做的时候没有思路，直接搜索旅游并跳转到源文件

在源文件里找到相应的信息

答案：拉萨

即时通讯

1、手机机主查询过那个人的身份信息。（标准格式：龙信）
手机图库里有一张聊天记录图

里面提到了被查询人的电话17712680573，在火眼里没有直接找到，到xway里去搜索并查看源文件

在message表中找到后续聊天记录

答案：龙黑

2、请问机主共转多少费用用于数据查询。（标准格式：1000）
接上题的聊天记录

答案：1100

3、机主查询的信息中共有多少男性。（标准格式：阿拉伯数字）
信息在短信的图片里

这里不能凭名字主观判断，吃过亏了。还得去看身份证，通过倒数第二位判断性别，男性奇数，女性偶数图片中最后两位信息不全忽略他们

所以一共四位答案：4

计算机取证

基本信息

1、计算机系统的安装日期是什么时候。（标准格式：20240120）
直接看系统信息

答案：20240112

系统痕迹

1、请问机主最近一次访问压缩包文件得到文件名称是什么。（标准格式：1.zip）
从压缩文件按照修改时间排序可以得到是data.zip

当时用的是取证大师去看最近打开过的文件,确定最近一次打开的压缩包是data.zip

最近打开的文件的路径：
\Users\Administrator\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\84917eea63a9886.automaticDestinations- ms
答案：data.zip

数据库分析

1、还原数据库，请分析root用户最后一次更改密码的时间是什么时候。（标准格式：2024-01-20.12:12:12)
数据库的数据根据邮件聊天的记录来看存放在data.zip

路径Program Files/Foxmail 7.2/Storage/2042@longxin.com/Mails
这里有提示zip的密码末尾555，在检材中没有找到这个号码，直接掩码爆破

连接数据库，在user表中找到last changed

也可以新建查询，搜索字段

SELECT password_last_changed FROM user
WHERE User='root'
答案：2021-03-17.15:49:52

2、请问mysql数据库中共存在多少个数据库。（标准格式：阿拉伯数字）

答案：5

3、员工编号为204200的员工总工资为多少元。（标准格式：阿拉伯数字）在人员这一数据库中的salaries表，新建筛选搜索员工编号

最后累加金额就可以或者直接运用语句

SELECT SUM(salary) FROM salaries_list

WHERE emp_no='204200'
答案：488313

4、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。（标准格式：阿拉伯数字）可以直接用语句搜索

SELECT COUNT(*)
FROM hiredate
WHERE dept_no='d002' AND from_date>='1999-01-01'

答案：1486

邮箱服务器

1、请问邮箱服务器的登录密码是多少。（标准格式：admin）
这里在D盘的路径\hMailServer\Bin下有一个hMailServer.INI，存放有关账号密码

以MD5形式还要解密

答案：900110
2、邮件服务器中共有多少个账号。（标准格式：阿拉伯数字）
对D盘进行bitlocker解密，从手机的备忘录里去找

解密之后，根据路径D：\hMailServer\Data\longxin.com,可以看到三条记录

答案：3
3、邮件服务器中共有多少个域名。（标准格式：阿拉伯数字）
根据第一问邮件服务器的密码登陆在domains中看到3个

答案：3

4、请问约定见面的地点在哪里。（标准格式：太阳路668号）
简单的图片隐写题，在邮箱的聊天记录中可以发现

隐写的在更改了高

将此处的AC改为FF，就可以看到文字

答案：中国路999号

apk分析

1、APP包名是多少。（标准格式：com.xxx.xxx）
gda:在baseinfo中直接看到

jadx中资源文件里找到Manifest.xml，再找mainactivity

答案：com.example.readeveryday

2、apk的主函数名是多少。（标准格式：comlongxin）
从gda里看和上题路径一样

jadx的思路同上

答案：StartShow
ps:复盘可以用的方法：摸瓜直接分析（不能依赖，一般比赛时候网站都没有用）

后面的第四题也可以看到

3、apk的签名算法是什么。（标准格式：xxx）
jadx可以直接看到

答案：SHA1withRSA

4、apk的应用版本是多少。（标准格式：1.2） g
da里的路径是找到resources

jadx中与一二题在同一个文件中

答案：1.0
5、请判断该apk是否需要联网。（标准格式：是/否）
gda： 在allstrings里可以看到apk有几个权限，有一条是连接互联网，得到本道题的答案

jadx：在startshow里看到权限

答案：是

6、APK回传地址？（标准格式：127.0.0.1:12345）
在mainactivity下的checkandupload文件中存放着记录

答案：10.0.102.135:8888

7、APK回传数据文件名称是什么。（标准格式：1.txt）
与上题同一个文件，寻找关键词file

答案：Readdata.zip
8、APK回传数据加密密码是多少。（标准格式：admin）
在encryfile中，encry意为加密

答案：19_08.05r

9、APK发送回后台服务器的数据包含以下哪些内容？（多选）
A．手机通讯录B.手机短信C.相册D.GPS定位信息E.手机应用列表
在mainactivity下存在三条记录

getallapp表示获得手机应用列表，sms代表手机短信，contactinfo代表通讯录
答案：ABE