第二届360杯全国大学生信息安全技术大赛部分解题思路(数字取证)
第一题如下:
下载打开包文件可以发现:
输入过滤语句http.request.method == POST
可以看到一个filename:后面的值即为key。
第二题如下:
解压出docx文件,把此文件改为rar文件在解压。解压后pngdecode.docx在\pngdecode\word\media文件夹
中看到image2.jpg里面的内容key:360HA360,如下图所示:
第三题如下:
下载破损的图片后,与http://weibo.com/u/3957583411循环异或,还原图片,记事本打开,得到通关密钥。通关密为:exclusiveOR233333
以下是异或的cpp代码:
#include <stdio.h> #include <windows.h> int main(int argc, char *argv[]) { char weibo[] = "http://weibo.com/u/3957583411"; HANDLE hFile = CreateFile( "fixpic.jpg", GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL); if(INVALID_HANDLE_VALUE == hFile) { printf("打开文件失败"); return -1; } int nSize = GetFileSize(hFile, NULL); DWORD dwReaded = 0; char *pBuf = new char[nSize]; ReadFile(hFile, pBuf, nSize, &dwReaded, NULL); FILE *newFile = fopen("new.jpg", "wb"); for (int i = 0; i < nSize; i++) { pBuf[i] ^= weibo[i%29]; fputc(pBuf[i], newFile); } delete []pBuf; printf("success\n"); system("pause"); return 0; }
第四题如下:
下载文件回来,是个bin文件,用binwalk分析,解压可以得到如下所示:
在/fmk/rootfs/home/dlink下就能看到key了
通关key为:6000953FB85D361345DE
第五题如下:
发现是apk文件,直接用apk改之理可以打开看到源代码:
可以得到短信的网关地址即为key:http://andro1ds.com
参考文献:第二届360杯全国大学生信息安全技术大赛官方解题思路
每当夜深人静的时候,想想今天发生了什么,失去了什么,得到了什么,做了什么,没做什么,该做什么,不该做什么,明天要做什么!