2023中科实数杯
1、检材一硬盘的MD5值为多少?(1分)
结果为80518BC0DBF3315F806E9EDF7EE13C12
2、检材一bitlocker的恢复密钥是多少?(5分)
efdd跑内存
结果为585805-292292-462539-352495-691284-509212-527219-095942
3、检材一镜像中用户最近一次打开的文件名是什么?(1分)
C:/Users/rd/AppData/Roaming/Microsoft/Windows/Recent,上面的Me是文件夹(X-ways到底什么时候可以解密Bitlocker啊啊啊啊啊啊啊)
结果为列表.xlsx
4、检材一硬盘系统分区的起始位置?(2分)
结果为649216
5、检材一系统的版本号是多少(格式:x.x.x.x)(1分)
software注册表文件
但是格式和答案不匹配,仿真
结果为120.2212.31.0
6、检材一回收站中的文件被删除前的路径(2分)
注意中间的点,ascii码是2e不是0
结果为C:\Users\rd\Desktop\iTunes(12.13.0.9).exe
7、检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)
System.evtx事件id1,来源Kernel-General,上面一个时间差太少,毫秒记,下面的更合适,注意时区
结果为2023-12-12 16:37:12
8、检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)
Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx事件id25,注意Address不能是本地,其实可以通过Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx的事件id1149去推,那个是远程登录认证成功的事件,那之后就是连接
结果为2023-12-11 15:57:02
9、检材一Chrome浏览器最后一次搜索过的关键词是什么(2分)
C:/Users/rd/AppData/Local/Google/Chrome/User Data/Default/History数据库
结果为常见的诈骗话术2023
10、检材一是否连接过U盘,如有,请给出U盘的SN码(2分)
system注册表MountedDevices
结果为FC2005927F271
11、检材一Edge浏览器最早一次下载过的文件文件名是(2分)
C:Users/rd/AppData/Local/Microsoft/Edge/User Data/Default/History
结果为winrar-x64-624scp.exe
12、嫌疑人访问的微博的密码的MD5值(3分)
强大的火眼
结果为5cb42860b3b61ef6dd361ad556f48e05
13、检材二备份的设备名称是什么?(1分)
Info.plist
结果为“User”的 iPhone
14、检材二手机的IOS系统版本是多少(1分)
结果为17.0
15、检材二备份的时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(1分)
见13题图,注意时区
结果为2023-12-09 15:02:28
16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。(格式:YYYY-MM-DD HH:MM:SS)(2分)
pc里有iTunes备份,且是加密的,通话记录非加密备份是没有的,之前用passware跑内存的时候,虽说密码没跑出来,但是会有iTunes密码忘记了怎么办,5位数这样的结果,所以直接5位数爆破
跑出来是25922
用我的iTunesBackupTransfer,输入密码可以查看目录,软件的tmp目录下会有解密后的数据库
数据库过滤一下
数据库里的时间戳和一般格式不同,问了一下gpt
注意时区转换
结果为2023-12-04 13:18:50
17、检材二使用过的号码ICCID是多少。(2分)
火眼是从这个数据库Wireless/Library/Databases/CellularUsage.db取的,但是Info.plist里面就有
结果为89860000191997734908
18、检材二手机中高德地图最后搜索的地址。(2分)
解密高德的girf_sync.db数据库,在表中的search_tag字段表示搜索的内容,address表示地点的地址,name表示地点的名称
结果为双山大道3号
19、检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
Home/Library/SMS/sms.db,手动加了小数点,注意时区
结果为2023-12-04 13:28:14
20、检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
导出后查看exif信息
或者看数据库记录
结果为2023-12-06 11:08:30
21、检材二中“小西米语音”app的Bundle ID是什么? (2分)
暂时没搞懂名称从哪读的,包名是从Manifest里读
结果为com.titashow.tangliao
22、检材二中浏览器最后一次搜索的关键词是什么?(2分)
不是加密备份里的
结果为ios备份密码忘了怎么办 五位纯数字
23、嫌疑人和洗钱人员约定电子钱包的品牌是什么,如有多个用顿号分隔。(3分)
加密备份里的小西米语音,找到数据库
结果为Bitcoin、ETH
24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。(3分)
结果为20%
25、检材三中进程“FTK Imager.exe”的PID是多少?(2分)
结果为11328
26、检材三中显示的系统时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(2分)
注意时区
结果为2023-12-12 12:06:25
27、检材三中记录的当前系统ip是多少?(2分)
结果为172.18.7.229
28、检材四中迅雷下载过的文件名是什么?(1分)
小米备份可以用7zip解压!!xl_downloads.db
结果为《向银河靠近》.txt
29、检材四中安装了哪些可是实现翻强(VPN)功能的app?(1分)
结果为Clash for Android
30、检材四备份的设备系统版本是多少?(1分)
结果为V14.0.2.0.TKSCNXM
31、检材四备份的时间是多少(答案以13位时间戳表示)(1分)
结果为2023-12-13 17:20:32
32、检材四中FileCompress app 包名是什么?(1分)
结果为com.zs.filecompress
33、检材四中备忘录记录的内容是什么?(1分)
结果为Vcpswd:edgewallet
34、请列出检材四中所有虚拟币钱包app的包名,如有多个用顿号分隔。(3分)
看分数,应该是不算imtoken和火币了
结果为de.schildbach.wallet、com.bitcoin.mwallet、com.paxful.wallet
35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么?(3分)
看RKStorage
结果为3KnPxPvpZ43pSc6sUT4Zqsc7pK1Xz5NtMH
36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置(2分)
全部解压,md5,过滤,还需要说?(.bak不要少,这里是解压出来的)
结果为20231213_172032/FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt
37、检材中受害人的微信号是多少?(2分)
受害人小浩
结果为Mr-pengp
38、嫌疑人曾通过微信购买过一个公民信息数据库,该数据库中手机尾号是8686的用户的姓名是(3分)
这个库在pc中有,微信收的
结果为章敏
39、嫌疑人手机中是否保存了小西米语音app的账号密码,如有,请写出其密码(5分)
火眼
结果为jamvU1@wiwgug$bo
40、公民信息数据库中,截止到2023年12月31日,年龄大于等于18且小于等于30岁之间的用户信息数量(5分)
要以周岁来算
结果为1717
41、受害人小浩的手机号码是多少(5分)
之前的11月.txt实际是一个压缩包,解压需要密码,文件是在FileCompress下面,只有apk和一个文件
显然要逆一下apk
结果为13533333333
42、完整的受害人名单是几个人。(6分)
33里记录了vc密码的提示,在pc的edge中保存了edgewallet的密码
容器里2个文件,9月是正常的txt,10月和之前11月的一样是加密压缩包,解压即可,每个文件有2个受害人
结果为6
43、受害人转账的总金额是多少(5分)
给的检材里有1笔,pc的加密备份里面有2笔,单号都不一样
结果为600
