第二届360杯全国大学生信息安全技术大赛部分解题思路（数字取证）

第一题如下：

下载打开包文件可以发现：

输入过滤语句http.request.method == POST

可以看到一个filename：后面的值即为key。

第二题如下：

解压出docx文件，把此文件改为rar文件在解压。解压后pngdecode.docx在\pngdecode\word\media文件夹

中看到image2.jpg里面的内容key:360HA360，如下图所示：

第三题如下：

下载破损的图片后，与http://weibo.com/u/3957583411循环异或，还原图片，记事本打开，得到通关密钥。通关密为：exclusiveOR233333

以下是异或的cpp代码：

#include <stdio.h>
#include <windows.h>
int main(int argc, char *argv[])
{
    char weibo[] = "http://weibo.com/u/3957583411";

    HANDLE hFile = CreateFile(
        "fixpic.jpg",
        GENERIC_READ | GENERIC_WRITE,
        FILE_SHARE_READ,
        NULL,
        OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL,
        NULL);

    if(INVALID_HANDLE_VALUE == hFile)
    {
        printf("打开文件失败");
        return -1;
    }

    int nSize = GetFileSize(hFile, NULL);
    DWORD dwReaded =  0;
    char *pBuf = new char[nSize];
    ReadFile(hFile, pBuf, nSize, &dwReaded, NULL);
    FILE *newFile = fopen("new.jpg", "wb");

    for (int i = 0; i < nSize; i++)
    {
        pBuf[i] ^= weibo[i%29];
        fputc(pBuf[i], newFile);
    }

    delete []pBuf;
    printf("success\n");


    system("pause");
    return 0;
}

第四题如下：

下载文件回来，是个bin文件，用binwalk分析，解压可以得到如下所示：

 在/fmk/rootfs/home/dlink下就能看到key了
 通关key为：6000953FB85D361345DE

第五题如下：

发现是apk文件，直接用apk改之理可以打开看到源代码：

可以得到短信的网关地址即为key:http://andro1ds.com

参考文献：第二届360杯全国大学生信息安全技术大赛官方解题思路