2023龙信杯

感谢toto与d3f4u1t

手机取证

1.请分析涉案手机的设备标识是___。（标准格式：12345678）

实际是tar包，加个后缀给xways就能以压缩包识别了，右击浏览即可

根据应用目录可以看出是小米手机，不过这个设备标识我还是第一次听说，不应该是序列号？不会是没提出表示就默认把序列号当标识吧。。data\com.miui.systemAdSolution\shared_prefs\mi_stat_pref.xml

结果为85069625

2.请确认嫌疑人首次安装目标APP的安装时间是__。（标准格式：2023-09-13.11:32:23）

通过该软件获取了受害人的通讯录信息，应用名称为甜心蜜聊

找到包名为lx.tiantian.com

小米应用市场的数据库/data/com.xiaomi.market/databases/market_2.db中可以找到应用的安装路径/data/app/~~bHUuRhDnXQeY4lr91PUg_Q==/lx.tiantian.com-xNCYppevFdsIGg_NlIP03A==/base.apk和md5值d56e1574c1e48375256510c58c2e92e5

结果为2022-11-16.19:11:26

3.此检材共连接过__个WiFi。（标准格式：1）

是刻意把misc/wifi目录下的文件删掉的？？还是miui版本问题。。不过wifi配置文件名字就是WifiConfigStore.xml

结果为6

4.嫌疑人手机短信记录中未读的短信共有__条。（标准格式：12）

短信数据库\data\com.android.providers.telephony\databases\mmssms.db，sms表中read字段值为0表示未读，type字段值为1表示接收的短信

结果为17

5.嫌疑人检材手机在浏览器中下载海报背景图的网址是___。（标准格式：http://www.baidu.com/admin/index.html）

结果为http://m.ziyuanhu.com/pics/1725.html

6.请分析涉案海报的推广ID是。（标准格式：123456）

短信附件里，嫌疑人有发送推广短信

结果为114092

7.嫌疑人通过短信群发去推广APP，请问收件人中有__个号码是无效的。（标准格式：12）

有一条发送失败

结果为1

8.通过分析，嫌疑人推送的微信账号是__。（标准格式：Lx20230916）

结果为Gq20221101

9.请校验嫌疑人使用的“变声器”APK的包名是。（标准格式：com.baidu.com）

应用商店的数据库可以找到

结果为com.chuci.voice

10.号商的联系人注册APP的ID是_。（标准格式：12345678）

结果为36991915

11.嫌疑人于2022年11月份在___城市。（标准格式：成都）

拍了一张照片

结果为苏州

12.嫌疑人共购买___个QQ号。（标准格式：1)

5+3

结果为8

APK

1.分析手机镜像，导出涉案apk，此apk的md5值是。（标准格式：abc123）

见手机取证2

结果为d56e1574c1e48375256510c58c2e92e5

2.分析该apk，apk的包名是。（标准格式：com.qqj.123）

导出后校验哈希

结果为lx.tiantian.com

3.分析该apk，app的内部版本号是__。（标准格式：1.1）

结果为1.0

4.分析该apk，请问该apk最高支持运行的安卓版本是___。（标准格式：11）

根据targetSdkVersion来看，32对应Android12，18对应Android4.3

结果为12

5.分析该apk，app的主函数入口是_。（标准格式：com.qqj.123.MainActivity）

结果为lx.tiantian.com.activity.MainActivity

6.分析该apk，请问窃取短信的权限名称是。（标准格式：android.permission.NETWORK）

并没有看到窃取短信。。拿的明明是通讯录

通过ContactsContract$Contacts.CONTENT_URI这个URI去请求通讯录数据

结果为android.permission.READ_CONTACTS

7.APP使用的OPPO的appkey值是。（标准格式：AB-12345678）

结果为OP-264m10v633PC8ws8cwOOc4c0w

8.分析apk源码，该APK后台地址是。（标准格式：com.qqj.123）

结果为app.goyasha.com

9.分析apk源码，APP 后台地址登录的盐值是___。（标准格式：123abc=%$&）

结果为73g=s%!lvi8h=i7a4ge*o3s@h2n^5_yk=-y#@p6)feidfjol8@

10.分析apk源码，该APK后台地址登录密码是__。（标准格式：longxin123）

结果为lxtiantiancom

11.对 APP 安装包进行分析，该 APP打包平台调证值是__。（标准格式：HER45678）

结果为H5D9D11EA

12.此apk抓包获取到的可访问网站域名IP地址是___。（标准格式：192.168.1.1）

需要抓？？

结果为192.168.5.80

13.分析apk源码，该apk的加密方式key值是。（标准格式：12345678）

结果为ade4b1f8a9e6b666

14.结合计算机镜像，综合分析，请问该apk开发者公司的座机号码是__。（标准格式：4001122334）

计算机9中提取出重要信息.txt，使用apk中的aes的key与iv进行解密

结果为4008522366

计算机取证

1.对PC镜像分析，请确定涉案电脑的开机密码是___。（标准格式：123456）

打表的，没意思

结果为Longxin360004

2.涉案计算机最后一次正常关机时间___。（标准格式：2023-1-11.11:11:11）

结果为2023-09-16.18:20:34

3.分析涉案计算机，在2022年11月4日此电脑共开机时长为___。（标准格式：1小时1分1秒）

开机事件12，关机事件13，但是官方答案似乎少算一次？？以及第一个关机日志之前到底算不算？

结果为2小时31分13秒

4.对PC镜像分析，请确认微信是否是开机自启动程序。（标准格式：是/否）

结果为是

5.检材硬盘中有一个加密分区，给出其中“我的秘密.jpg”文档的解密内容。（标准格式：Longxin0924）

结果为Mimi1234

6.接上题，请问该嫌疑人10月份工资是_______元。（标准格式：123）

加密磁盘的回收站文件夹中存放了一个加密压缩包，可以使用上题密码解压，得到一个表格

结果为19821

7.对PC镜像进行分析，浏览器中使用过QQ邮箱，请问该邮箱的密码是__。（标准格式：Longxin0924）

老样子，仿真不改密

结果为Longxin@2023

8.结合手机镜像分析，得出一个推广ID，请在此检材找到此海报，请写出路径。（标准格式：D:\X\X\1.txt）

回收站中存在图片

BitLocker恢复密钥的同目录下有一个文件，可以通过最近访问文档找到它

在这两个路径下都有图片，但是略有差异，在2.png的文件尾出现了银行卡号6320005020052013476，因此推测为2.png的所在目录（回收站中的文件尾也存在银行卡号），且2.png的哈希值与回收站中文件一致，也与手机中发送的彩信图片一致

结果为C:\Program Files (x86)\Tencent\WeChat\2.png

9.请找出嫌疑人的2022年收入共___。（标准格式：123）

回收站中存在加密容器，使用的是tc加密，用vc进行解密时需要勾选tc模式，以上题的图片为密钥文件进行解密，得到夜神模拟器的备份文件和一段密文

用xways查看挂载的磁盘，可以得到一个隐藏文件

结果为205673

10.分析此海报，请找到嫌疑人的银行卡号。（标准格式：62225123456321654）

见第8题

结果为6320005020052013476

虚拟币分析

1.分析涉案计算机，正确填写中转地址当前的代币种类__。（标准格式：BNB）

夜神模拟器恢复备份

ps：希望以后的出题人可以使用支持hyper-v的模拟器，谢谢

结果为ETH

2.分析涉案计算机，正确填写中转地址当前的代币余额数量___。（标准格式：1.23）

直接看是0

数据库可以看到，具体看下题

结果为4.498111780847082000

3.根据中转地址转账记录找出买币方地址。买币方地址：_（标准格式：0x123ABC）

查余额啥都没有啊。。。

直接从数据库RKStorage翻

格式化一下json数据，以太坊精确到小数点后18位，给出的decimal字段可以证明，也就是说给出的amount需要进行处理

看一眼案情，第一笔是0.5转到买币方，也就是上面的第一张图的地址

结果为0x63AA203086938f82380A6A3521cCBf9c56d111eA

4.根据中转地址转账记录统计买方地址转账金额。转账金额： ETH.（标准格式:12.3）

0.5+50+100

结果为150.5

5.在创建钱包时，应用APP都会建议我们进行助记词备份，方便以后忘记密码后找回钱包，在办案过程中时常会拿到犯罪嫌疑人备份的助记词的情况。请从以下三组助记词中判断出格式正确的一组（ ）

A.raw sausage art hub inspire dizzy funny exile local middle shed primary

B.raw sausage art hub inspire dizzy funny middle shed primary

C.raw sausage art funny exile local middle shed primary

此题是判断助记词格式的题，一般情况下助记词是12个单词，以空格区分

结果为raw sausage art hub inspire dizzy funny exile local middle shed primary

6.假设上题中正确的助记词为通过侦察找到的嫌疑人钱包助记词备份（已知地址属于以太坊链），请在模拟器中通过imToken APP恢复嫌疑人钱包，并选出正确钱包地址（ ）

A.0xf0fF021880c4b1F79876E335c74d26DFa75DC9f9

B.0x63AA203086938f82380A6A3521cCBf9c56d111eA

C.0x0fd5F09C6Ba5Fd0aE6EbAFAF034913ACF7a0373A

添加钱包，助记词，输入即可

结果为0x63AA203086938f82380A6A3521cCBf9c56d111eA

流量分析

1.分析“数据包1.cap”，请问客户端为什么访问不了服务器。（ ）

A.DDoS攻击

B.DoS攻击

C.SQL注入

D.文档攻击

攻击机只有一台，是dos攻击

结果为DoS攻击

2.分析“数据包1.cap”，出问题的服务器IP地址是___。（格式：127.0.0.1）

结果为116.211.168.203

3.分析“数据包1.cap”，文件下发服务器的IP地址是___。（标准格式：127.0.0.1）

一堆tcp，追踪一下

结果为120.210.129.29

4.分析“数据包1.cap”，攻击者利用___漏洞进行远程代码执行。（标准格式：XXX）

往前翻几个流，都有特征

遇事不决

结果为Apache Struts 2

5.分析“数据包1.cap”，请提取恶意文件，并校验该文件的MD5值为___。(标准格式:abcd)

847流加了执行权限（基于导出的http分组）

所以应该是846的流中的文件，保存原始数据，删一下返回的头

结果为87540c645d003e6eebf1102e6f904197

6.分析“数据包2.cap”，其获取文件的路径是。（标准格式：D:/X/X/1.txt

url解码一下

结果为C:/Users/Administrator/Downloads/新建文件夹/新建文件夹/mail.png

7.分析“数据包2.cap”，文件下载服务器的认证账号密码是___。（标准格式：123）

结果为passwd

8.分析“数据包2.cap”，其下载的文件名大小有字节。（标准格式：123）

结果为211625

服务器取证1

1.服务器系统的版本号是___。(格式:1.1.1111)

结果为7.9.2009

2.网站数据库的版本号是___。(格式:1.1.1111)

结果为5.6.50

3.宝塔面板的“超时”时间是___分钟。(格式:50)

宝塔这里要绕一下手机号绑定，请参照qax司法鉴定的文章自行绕过

结果为120

4.网站源码备份压缩文件SHA256值是___。(格式:64位小写)

结果为0bdeeacf755126dae9efd38f6a6d70323aa95217b629fd389e0e81f9b406be39

5.分发网站sb.wiiudot.cn管理员密码默认MD5加密盐值是___。(格式:abcd)

根据代码来看，盐是lshi4AsSUrUOwWV的md5值7f5918fe56f4a01d8b206f6a8aee40f2

这样123456生成的密码即为9eb2b9ad495a75f80f9cf67ed08bbaae

结果为7f5918fe56f4a01d8b206f6a8aee40f2

6.分发网站sb.wiiudot.cn一共存放了___条通讯录数据。（标准格式:1234）

网站重构需要注意数据库配置，以数据库条数为准

结果为67097

7.全部网站一共有___名受害人。(格式:xxx。不去重,不进行数据恢复)

267+57+182=506

结果为506

8.分发网站tf.chongwuxiaoyouxi.com里面一共有___位“组员级别”的管理员。(格式:数字)

结果为26

9.分发网站sb.wiiudot.cn管理员名为“0820”的邀请码是___。(格式:xxx)

结果为443074

10.分发网站sb.wiiudot.cn本地数据库用户sb_wiiudot_cn的密码是___。(格式:xxx)

现存的密码验证不通过

备份中的密码验证通过

结果为KE5f3xnFHYAnG5Dt

服务器取证2

1.请分析宝塔面板中默认建站目录是___。（标准格式：/etc/www）

结果为/www/wwwroot

2.在宝塔数据库目录有一个只含有一个表结构的数据库，请找到该“表结构文件”并分析出第六个字段的字段类型是___。（标准格式：int(11)）

备份原有的goooooyasha.frm，然后创建一个同名的表，要求字段名要相同，然后使用备份进行替换，重启mysql就可以看到

结果为char(128)

3.请分析“乐享金融”网站绑定的域名是___。（标准格式：www.baidu.com）

结果为jinrong.goyasha.com

4.请访问“乐享金融”数据库并找到用户表，假设密码为123456，还原uid为2909，用户名为goyasha加密后密码的值是___。（标准格式：abcdefghijklmnopqrstuvwsyz）

使用的数据库是sjp

用户密码+用户注册时间计算md5

结果为d2174d958131ebd43bf900e616a752e1

5.请重建“乐享金融”，访问平台前台登陆界面，会员登陆界面顶部LOGO上的几个字是___。（标准格式：爱金融）

运行目录public下没有任何php脚本用来初始化thinkphp，且网站配置为纯静态页面，当时瞎改8改的，给了个php版本，换了运行目录，就能看到前台页面了

结果为睿文化

6.请分析“乐享金融”一共添加了___个非外汇产品。（标准格式：5）

注意isdelete

结果为2

7.请分析“乐享金融”设置充值泰达币的地址是___。（标准格式：EDFGF97B46234FDADSDF0270CB3E）

结果为85CF33F97B46A88C7386286D0270CB3E

8.请分析“乐享金融”充值金额大于582402元的受害人充值总金额是___。（标准格式：12345678）

结果为101000087

9.请分析“乐享金融”银行卡号“6239039472846284913”绑定用户的用户名是___。（标准格式：张三）

结果为kongxin

10.请分析“乐享金融”建仓时间为“2022/03/01 18:44:01”，平仓时间为“2022/03/01 18:52:01”，以太坊/泰达币的这一笔交易的平仓价格是___。（标准格式：1888.668）

结果为2896.924

11.请分析“乐享金融”订单编号为“202112090946233262”平仓时间是___。（标准格式：2022-1-11.1:22:43）

空数据，考虑general_log或者数据库备份，数据库未开general_log

宝塔可以看到备份，直接恢复

结果为2021-12-09.09:52:23

12.宝塔面板某用户曾尝试进行一次POST请求，参数为“/BTCloud?action=UploadFilesData”，请问该用户疑似使用的（ ）电脑系统进行访问请求的。

A.Windows 8.1

B.Windows 10

C.Windows 11

D.Windows Server 2000

在2022-07-23.json中

结果为Windows 8.1

13.请分析该服务器镜像最高权限“root”账户的密码是___。（标准格式：a123456）

跑就完事

结果为g123123