摘要:
手机 后缀dd实则tar 非预期 应该是出题的时候为了方便确定答案,做了截图,但是截图被小米相册缓存了,虽然不是原图,但也足够清晰,删除截图的时候这部分缓存并不会被删除,可以解绝大部分题 /media/0/Android/data/com.miui.gallery/files/gallery_dis 阅读全文
摘要:
先找到判断方法,显然是一个native ida加载so,导出表中没有这个函数,所以是动态注册的,找到jni_onload 找到函数地址 修改3个参数的类型,便于分析 总得来看,最终要执行的不是a就是ao了 bool __fastcall sub_BE440(JNIEnv *env, jobject 阅读全文
摘要:
写报告时,经常会在word中插入几十张甚至是上百张图片,而为了美观,通常会为这些图片添加边框,但一个个添加显然是疯狂且愚蠢的,我们应该做一些更有效率的事情。 使用python-docx来实现我们的操作(由于各种原因,不会选择用宏) 首先观察一下图片加边框前后的文档结构变化(用解压缩工具打开docx文 阅读全文
摘要:
日志流量 1.新手运维小王的Geoserver遭到了攻击:黑客疑似删除了webshell后门,小王找到了可能是攻击痕迹的文件但不一定是正确的,请帮他排查一下。 目标是找到webshell 首先能看到目录扫描 最后能看到上传了一个b.jsp jsp是加密的,但是能看到一个class 这个class没有 阅读全文
摘要:
1. 分析手机备份文件,该机主的QQ号为?(标准格式:123) 看了下,备份里没有QQ,但是有微信,所以应该是微信绑定的QQ号(早期微信推广时可以用QQ直接注册登录) 经过测试,对应的是这个 结果为1203494553 2. 分析手机备份文件,该机主的微信号为?(标准格式:abcdefg) 结果为l 阅读全文
摘要:
Windows远程固定 直接镜像或拷贝 使用RDP远程连接到目标机器,连接时挂载一个配有取证工具的本地磁盘,这样可以在服务器上运行取证程序,最小程度避免对数据的干扰 连接成功后,就可以在目标服务器上成功看到分区 接下来按照PE做镜像的标准,直接将内容磁盘镜像下来,FTK可以选择我们挂载的网络驱动器, 阅读全文
摘要:
出差 猛干 学 猛干 傻逼 润 爽 写 学 总结:没有被2024淘汰🤣 努力的成果大部分都分享了出来🤣 阅读全文
摘要:
请根据计算机以及内存检材,回答以下问题: (17道题,共54.0分) 1. 计算机中曾挂载的bitlocker加密的分区的驱动器号为?(答案格式:大写字母,如C) (2.0分) 先找到对应的虚拟磁盘 仿真直接挂载就能看到,还有一个挂载起来是X盘 结果为V 2. 分析计算机和内存检材,计算机中的Bit 阅读全文
摘要:
请根据计算机检材,回答以下问题: (10道题,共19.0分) 1. 计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为?(答案格式:6位数字) (1.0分) 应该是这个?从注册表应该是能看到挂载痕迹 结果为700755 2. 请写出曾远程连接过该计算机的IP;(答案格式:6.6.6.6) 阅读全文
摘要:
本WP由师弟@K4m1to提供 太好了,手搓党有救了 容器密码:bWuDw#3qthnMpLz8+6>c!CHFmPKgB&?J5f:A4^a);d=*ysv7Rxn>fzT^BH8;JV#qSpF5C7kb4DsA$?a+9E6KZ3\xRwW=(jceu:NvvXD7r@&9YJz/nwbh<A 阅读全文