20年美亚杯-Bob部分WRITE UP

Bob部分

这部分是真的 可以用恐怖来形容 当时做这部分的时候真的是遇到了很多的困难很多的问题 导致这部分做的很差 现在复盘要好好做一下

29.Bob的路由器型号是什么
这题教会了我们 题目没有多余的东西 在题目给的检材里 有关于Bob各种器材的照片 可以看到Bob的路由器的牌子

30.Bob家的ip地址是什么
同上题 出题人不会给你多余的东西

31.使用路由器装置的Mac地址是什么-Alice
这题说真的 出的挺难的 Bob检材那 有个Router的日志 点开发现虽然有包含ip地址 但是对应的人是以代号称呼的 而我们要寻找的就是Alice 得回到上午的个人赛 Alice干的是什么事 如果忘记的同学可以去我的博客个人赛那回顾一下 Alice是拿到了被盗人身份证银行卡以及密码进行最后盗刷的人 也就是跑腿的 而我们看路由器日志那 有一行叫legman 能对应上Alice

32.使用路由器装置的Mac地址是什么-Cole
说实在 这题出的也难 脑洞得开的比较大 目前也只是从日志入手 问Bob的Mac地址 通过Bob家的路由器 那肯定Bob天天都连着 那肯定不是那个Big Boss 因为他最后一次的登录时间是16号 太早了 那要不然就是Moving Boss 要不就是 Technic Guy 选一个 基于上午个人赛 Bob干的就是给嫌疑人发钓鱼邮件 应该更像是Moving Boss 而且从下面 其他人去他家 应该是开会啥的 可以推断出Bob是Moving Boss 然后Cole是Technic Guy 并且Cole干的 是制作钓鱼网站 攻击Xeno服务器 变成傀儡机 可以推断Cole应该就是那个Technic Guy

33.谁到访过Bob家
不知道咋说 也只是推断

34.他们什么时候去过Bob家
这题也得开点脑洞才行 你去别人家第一件事是干嘛 连wifi 所以看路由器最新登录时间就行了

Bob笔记本部分

35.Bob笔记本计算机的哈希值(SHA-1)
懒得跑了 自己算一下吧

36.Bob计算机安装了什么电子邮件程序
一个T的镜像 仿真电脑都冒烟了 这镜像大小太可怕了

37.网络钓鱼电子邮件的接收者是储存在什么文件
好嘛 终于是给我找到了

38.Bob的笔记本有什么可疑的APK及其功能
我当时比赛的时候 已经知道那个mytracker有问题 但是我当时是逆向的角度去解这个apk 没想到妈的放到模拟器里面跑一下就好了 靠 我们可以看到那个bitlocker 很关键

39.该可疑apk从哪个网站获取资料
逆不出来 软件也跑不动 反正就没思路 团体赛这么大的题量遇到一两题不会做跳过就行

40.上述APK中发现的bitlocker密钥是什么
从38题图可以看到

41.网络钓鱼网站的寄存网站地址是什么
好吧又是翻译的锅 "寄存"

Bob笔记本部分总结

还是有点难的 而且就那个apk文件 你如果找不到里面的bitlocker Bob的台式机部分你也就没办法做了 但是比赛的时候其实忘记了最简单的方法 就是直接安装跑一下看看 想的太复杂 并且这个大小的镜像 仿真起来是没办法跑的 所以其实要锻炼自己不依赖仿真的能力

Bob台式机部分

42.Bob桌上计算机的哈希值(hash-1)是多少
自己跑一边 我电脑太差了跑不动 比赛的时候有一个队直接扛了俩取证塔来跑 牛逼

43.Bob桌上计算机系统安装的时间是什么时候(本地时间)
有手就行

44.Bob桌上计算机发现的钓鱼脚本是什么
题目给出的都是压缩格式文件 所以从做题的角度来说 可以直接从压缩包格式文件入手 说实在 这个还挺不好找

45.该网络钓鱼脚本的功能是什么
毕竟web没啥基础 脚本看不懂 但是从之前Bob笔记本上发现的那些用户的个人信息可以知道 这个网站八成是用来钓鱼的 而且银行卡盗刷 个人信息是不可能被强行破解的 大概率是用户自己输入的 而输入这东西基本上就是钓鱼网站干的事情 有兴趣的同学可以试着自己代码审计一下

Bob台式机部分总结

你如果能解出那个BitLocker 这部分其实真不难 除了45

Bob苹果手机部分

划重点 ufd的苹果手机备份文件 备份密码是可以找到的

46.在Bob iphone, 与Alice和Cole通讯记录的完整路径是甚么？

47.Bob的appleid是多少

48.Bob的Iphone的IMEI号是多少
注意Manifest.plist和info.plist还有device_values.plist这仨文件 里面有很多手机的数据信息 并且 如果有做过早上的个人赛 就会发现有些答案上午个人赛有

49.Bob的Iphone时区是什么
身处地是香港 而且身边其他的设备都是+8时区 可以推断他的Iphone也是+8时区的 当然不能这样做 找到一个Phoneinfo.xml文件 里面有

50.VIP.txt文件所在目录是什么
这个文件文件名被加密了 所以只能按着题目的提示去whatsapp里面找

51. 在Bob iphone, 谁是“ 85262547937-1600392878@g.us”的聊天群组中的管理员？
行嗷 Alice部分才找到 关键是题目没有出Alice的题 真狗

52. “ 85262547937-1600392878@g.us”聊天群组中有多少个附件？
总共四个 火眼跑肯定是跑不出来的 得找 不过我真没想到图片也算附件 我以为只有文件才算

53.Bob的airdrop id是什么
不会 咕咕咕

54.Bob的Iphone操作系统版本是什么

总结
ssfyyds 这部分还是很难的

Bob三星手机部分

这部分难度是有的 但是没有那个Iphone那样 没密码只能纯手工

56.Bob的三星的Android ID是什么
这题在上午的个人赛有过类似的 是找MAC地址的 现在会找了 还是放到winhex里面 或者x-ways

57.Bob的三星手机操作系统是什么
送分题 不讲了

58.Bob的三星手机的时区是什么
送分

59.bitcoin.PNG的储存位置在哪
送分

60.bitcoin.PNG的哈希值(SHA-256)是多少
送分 懒得算

61.bob的三星手机的MAC地址是什么
他妈的 我就觉得奇怪怎么找不到 最后带选项进去找了一下 我日 就一条MAC地址 难怪我搜MAC找不到

62."userdata(ExtX)/Root/media/Download/APK Testing"中的有多少APK檔？
送分

63.Messagesecure.apk的哈希值(SHA-256)是多少
送分题 懒得算了

64.私钥已在bitcoin.PNG中加密 私钥是什么
不说了 一言难尽 竟然又用到了上午个人赛的那个解密apk 密钥去Bob的电脑照片找

65.apk文件"flash_chat"的哈希值（SHA-256）是甚么？
真的想刨了出题人的祖坟 妈的在Alice手机部分才能找到 还给爷改了名字 日

66.哪个文件包含“ flash_chat”聊天记录？
顺着找找

67.从“ flash_chat”找到的Bob的Windows密码是甚么？(某些字符被刻意用*遮盖)
取证大师最近(比赛结束后)推出了一个flash chat的自动取证小程序

但是如果在比赛中 没有这个小程序怎么办 这就要我们分析一下表的结构了 sqlite里面有一个功能叫hex分析(编辑) 我们康康这个表的结构 path基本上可以当作id来处理 而后面的content就代表着这个消息的内容 但是很明显是加密过的 我们看不出来 但是就跟拖到winhex里面一样 我们hex分析一下 就可以看到加密的内容了

68.消息的消息号码(Message ID)是甚么？
见上图

69.. “ flash_chat”消息ID“ aGqBnI5Bxutv24SQvrBL”中的密码是甚么？(某些字符被刻意用*遮盖)
同理

Bob的IMAC部分

70. 从Bob iMAC 桌面名为Wallet.dat 的档案中可以取得以下那一个比特币地址?(某些字符被刻意用*遮盖)
从70题往后到Bob部分结束都是关于bitcoin钱包的部分 这部分对我来说难度太大了 从来没有接触过bitcoin 要处理wallet.dat和.walletlock文件 只能说水平不够 以后如果有想法了在搞吧

Bob部分总结

这部分如果说 需要解决所有题目的话 那难度简直是毁天灭地 涉及到从计算机基础到文件系统 以及对数据的原始处理(例如iphone部分以及三星部分) 更是涉及到了bitcoin钱包解密部分 并且这部分的题目不仅仅是bob的 更联系到了上午的个人赛和检材alice 不得不佩服出题人的水平 真的是不简单 Bob这部分出的题目含金量和难度都非常大 如果真有人能全部独立解开Bob的所有题目 请收下我的膝盖 写完这部分真的觉得太累了