avatar
文章
24
标签
15
分类
1
首页
分类
标签
LogoRy@n's forensics blog2025黑龙江联赛团体
搜索
首页
分类
标签

2025黑龙江联赛团体

发表于2025-10-08|更新于2025-10-19|电子取证
|浏览量:
计算机
上一篇
通过虚拟磁盘挂载实现C盘VC加密镜像的软件分析
通过虚拟磁盘挂载实现VC加密镜像的软件分析(以火眼为例)*取证大师中可直接添加镜像,右键加密分区输入密码进行解密1.使用取证大师工具集中的虚拟磁盘挂载工具(需要离线授权才能开启) 2.选择镜像文件,挂载类型选择磁盘,以模拟写模式进行挂载 此时会出现一个没有空间的盘符 3.在vc中点击选择设备,找到刚才的盘符,点击确定 4.点击加载,在右下角的加载选项中勾选以只读模式加载加密卷和以非预启动验证方式加载使用系统加密处理的分区 手动输入找到的密码和PIM(可能为空)5.挂载成功! 6.在火眼中加载刚才挂载的盘符 完成对C盘加密镜像的分析 7.也可以在虚拟磁盘挂在完成后使用EFDD对磁盘进行永久解密
下一篇
新手练习
...
评论
目录
  1. 1. 物联数据取证(6个小题,共60分)
    1. 1.1. [填空题]通过对检材-物联网中“TPLINK20250705124525.7z”分析,无线网络Arkride的密码是多少?【按实际值填写】(10分)
    2. 1.2. [填空题]请问设备vivo-Z6的MAC地址是多少?【字母大写,如:A1-B2-C3-44-EE-FF】(10分)
    3. 1.3. [填空题]请问路由器DHCP服务器分配IP的地址池结束地址是多少?【填写IP地址,如:127.0.0.1】(10分)
    4. 1.4. [填空题]通过对检材-物联网 汽车中“福特日志.bin”分析,2019-11-20 20:55:50车辆的行驶里程是多少km?【填写数字,参考格式如:1234】(10分)
    5. 1.5. [填空题] 2019-11-20 20:38:51.176车辆的行驶速度是多少km/h?【保留小数点后二位,四舍五入,参考格式如:22.23】(10分)
    6. 1.6. [填空题] OPPO R11t手机的号码是多少?【填写数字,参考格式如:12345678901】(10分)
  2. 2. 手机取证(11个小题,共103分)
    1. 2.1. [填空题]通过对检材-手机中“Phone.E01”分析,机主在“鸽哒”即时通讯工具中发送的会议房间PID号为?【填写数字,参考格式:1234】(10分)
    2. 2.2. [填空题]对手机检材进行取证分析,手机相册中有张助记词图片被破坏,请修复该图片,列出该图片中第二个单词。【按实际值填写】(9分)
    3. 2.3. [填空题]对手机检材进行取证分析,机主在手机中记录的域名为abcd.com的邮箱地址。【参考格式:abc@163.com】(10分)
    4. 2.4. [填空题]接上题,在该邮箱地址存储的应用中设置了私密空间,私密空间打开的密码为?【按实际值填写】(10分)
    5. 2.5. [填空题]对手机检材进行取证分析,该手机使用了一款远程控制与管理软件,该应用的名称。【字母全小写,参考格式:wechat】(9分)
    6. 2.6. [填空题]接上题,该应用使用了一个QQ邮箱进行注册登录,请问该邮箱地址为?【参考格式:abc@qq.com】(10分)
    7. 2.7. [填空题]对手机检材进行取证分析,机主在注册账号为lixj123的应用中,设置的该账号登录密码是什么?【按实际值填写】(9分)
    8. 2.8. [填空题]接上题,该应用聊天记录所在数据库的密码是什么?【按实际值填写】(9分)
    9. 2.9. [填空题]接上题,该应用聊天记录所在数据库的KDF迭代次数是多少?【填写数字,参考格式:64000】(9分)
    10. 2.10. [填空题]接上题,该应用中机主有发送文档密码给好友,密码是什么?【按实际值填写】(9分)
    11. 2.11. [填空题]对手机检材进行取证分析,找出“何相煜”身份证后六位。【参考格式:123456】(9分)
  3. 3. 内存取证(3个小题,共28分)
    1. 3.1. [填空题]对计算机固定的内存检材进行分析,火狐浏览器进程的退出时间为?【参考格式:1970-01-01 00:00:00】(10分)
    2. 3.2. [填空题]对计算机固定的内存检材进行分析,计算机中有一个处于打开状态的文档文件,请写出该文档文件的完整文件名?【请按实际结果填写,含扩展名】(9分)
    3. 3.3. [填空题]对计算机固定的内存检材进行分析,可从运行的豆包应用程序中解析出几条通过TCP协议“三次握手”并最终成功的记录?【参考格式:123456】(9分)
  4. 4. 计算机取证(30个小题,共278分)
    1. 4.1. [填空题]通过对检材-计算机中“Windows 10.E01”分析,该操作系统登录次数最多的用户登录密码为?【按实际值填写】(10分)
    2. 4.2. [填空题]对计算机检材进行分析,该操作系统连接网络使用的IP地址为?【参考格式:127.0.0.1】(10分)
    3. 4.3. [填空题]对计算机检材进行分析,该操作系统配置为自动启动服务的数量有多少个?【填写数字,参考格式如:10】(10分)
    4. 4.4. [填空题]对计算机检材进行分析,该操作系统中“搜狗输入法”的安装时间为?【填写日期和时间格式,参考如:1970-01-10 10:01:10】(10分)
    5. 4.5. [填空题]对计算机检材进行分析,该操作系统中存储了几个不重复的FileVault2恢复密钥?【参考格式:1234】(10分)
    6. 4.6. [填空题]对计算机检材进行分析,该操作系统经过几次人为修改时间行为?【填写数字,参考格式如:10】(10分)
    7. 4.7. [填空题]对计算机检材进行分析,用户安装了多少个反取证软件?【填写数字,参考格式如:10】(10分)
    8. 4.8. [填空题]对计算机检材进行分析,该用户创建VC容器使用的密码为?【参考格式:ABC@def】(9分)
    9. 4.9. [填空题]对计算机检材进行分析,该操作系统的浏览器中安装了几个不同的扩展插件?【填写数字,参考格式如:10】(10分)
    10. 4.10. [填空题]对计算机检材进行分析,该用户创建VC容器使用的PIM值为?【参考格式:1234】(9分)
    11. 4.11. [填空题]对计算机检材进行分析,该用户登录百度的账号为?【参考格式:1234】(9分)
    12. 4.12. [填空题]对计算机检材进行分析,该用户存储的陈药师的手机号为?【填写数字,参考格式:15366542414】(9分)
    13. 4.13. 填空题]对计算机镜像进行分析,找出该镜像中分配了四个分区结构的虚拟磁盘,恢复出该盘中的FAT32分区结构,并写出FAT32分区的文件系统总扇区数为?【填写数字,参考格式如:1000】(9分)
    14. 4.14. [填空题]对计算机镜像进行分析,找出该镜像中分配了四个分区结构的虚拟磁盘,统计其扩展分区的总扇区数为?【填写数字,参考格式如:1000】(9分)
    15. 4.15. [填空题]“对计算机镜像进行分析,找出该镜像中分配了四个分区结构的虚拟磁盘,其主分区结构根目录下的EXE文件占用了多少个簇?【填写数字,参考格式如:1000】(9分)
    16. 4.16. [填空题]对计算机镜像进行分析,找出该镜像中分配了四个分区结构的虚拟磁盘,其扩展分区中第一个逻辑分区结构内的EXE文件簇流的长度为?【填写数字,参考格式如:10】(9分)
    17. 4.17. [填空题]对计算机检材进行分析,该用户在币安智能链上登录的密码为?【按实际值填写】(9分)
    18. 4.18. [填空题]对计算机检材进行分析,该用户存储在本机中第三套压缩公钥BTC地址的后8位为?【按实际值填写】(9分)
    19. 4.19. [填空题]对计算机检材进行分析,该用户配置的“手机云环境”中的密码为?【按实际值填写】(9分)
    20. 4.20. [填空题]对计算机检材进行分析,找出该用户存储在本机的“bitpie助记词”的第二部分PNG图片,恢复该图片,并写出图片中第三个单词为?【按实际值填写】(9分)
    21. 4.21. [填空题]对计算机检材进行分析,在python文件夹中找出源码中包含数据库连接信息的文件的MD5值的最后8位是多少?【格式如:AB23DE2D】(9分)
    22. 4.22. [填空题」对计算机检材进行分析,接上题,连接mysq|数据库的密码是多少?【按实际值填写】(9分)
    23. 4.23. [填空题]对计算机、手机检材进行综合分析,“山东集会捐赠—QCYQNLY.xlsx”文件的打开密码为?【参考格式:abd1234】(9分)
    24. 4.24. [填空题]对计算机、手机检材进行综合分析,“山东集会捐赠—QCYQNLY.xlsx”文件中通过“支付宝”方式捐赠的总金额为?【参考格式:1234】(9分)
    25. 4.25. [填空题]对计算机、手机检材进行综合分析,提取其bitpie钱包中ETH区块链地址的助记词(12个单词)是乱序的,请恢复出正确的顺序,并列出最后一个单词为?【按实际值填写】(9分)
    26. 4.26. [填空题]对计算机、手机检材进行综合分析,手机远程工具中收取的文件“用户信息.txt”在计算机中存储的文件名为?【根据实际文件名填写,含扩展名,格式如:word.doc】(9分)
    27. 4.27. [填空题]对计算机、手机检材进行综合分析,手机文档文件夹中的文件“IP地址.xlsx”的打开密码为?【按实际值填写】(9分)
    28. 4.28. [填空题]对计算机、手机检材进行综合分析,手机文档文件夹中的文件“IP地址.xlsx”中,第50条IP的归属地是哪个国家?【参考格式:印度】(9分)
    29. 4.29. [填空题]对计算机、手机检材进行综合分析,“通讯录.txt”文档中,张天师的手机号为?【参考格式:1234】(9分
    30. 4.30. [填空题]对计算机、手机检材进行综合分析,“通讯录.txt”文档中,手机号归属地最多的省份为?【参考格式:黑龙江】(9分)
  5. 5. 服务器取证(25个小题,共225分)
    1. 5.1. [填空题]通过对检材-服务器中“服务器镜像”分析,请算出当前fodu容器的挂载数据卷的路径是?(9分)
    2. 5.2. [填空题]善友筹是从哪一年开始进行线上筹款。【填写数字,格式如:2025】(9分)
    3. 5.3. [填空题]备份数据库的阿里云oss密钥是?【按实际值填写】(9分)
    4. 5.4. [填空题]2019-12-04 13:16:40搭建的站点域名是?【格式如:baid.com】(9分)
    5. 5.5. [填空题]嘉楠读书后台登陆请使用明文密码my300188算出它的密文是?(按实际值填写)(9分)
    6. 5.6. [填空题]嘉楠读书平台的视频问答中解说的习气是一种什么的产物?(参考:中文)(9分)
    7. 5.7. [填空题]嘉楠读书平台中公众号经藏家园的定时计划时间是?【填写日期和时间,格式如:2025-08-01 14:01:10】(9分)
    8. 5.8. [填空题]嘉楠读书平台中后台销售业绩显示最高的是谁?【填写汉字】(9分)
    9. 5.9. [填空题]嘉楠读书平台配置的git仓库地址是?(按实际填写)(9分)
    10. 5.10. [填空题]嘉楠读书平台中请分析“富爸爸穷爸爸(一)”课程在2019-2020年间的退款率百分比是?【保留二位小数,四舍五入,格式如:12.23】(9分)
    11. 5.11. [填空题]众筹平台中请导出业绩最高的员工报表,并清洗用户地址为空的记录,问支付总金额是?(元)【填写数字,格式如:10】(9分)
    12. 5.12. [填空题]众筹平台中正在进行中的项目已筹金额总共是多少?【填写数字,格式如:10】(9分)
    13. 5.13. [填空题]请分析众筹平台中总共成功众筹的金额是多少?【保留小数点后二位,四舍五入,格式如:10.23】(9分)
    14. 5.14. [填空题]请分析众筹平台中在2021年第3季度中众筹到金额最高的项目ID前6位是(不含退款)?【小写字母与数字组合,格式如:ab23de】(9分)
    15. 5.15. [填空题]请问万善行商城短信接口的appkey的后8位是?【小写字母与数字组合,格式如:abd23d】(9分)
    16. 5.16. [填空题]请问万善行商城的微信支付申请主体是?【按实际值填写】(9分)
    17. 5.17. [填空题]请问万善行商城中订单数最多的是哪个店铺?【按实际值填写】(9分)
    18. 5.18. [填空题]继上一题,请问该店铺绑定的微信小程序原始ID是?【按实际值填写】(9分)
    19. 5.19. [填空题]继上一题,该店铺的等级为分销员的人数是?【填写数字,格式如:10】(9分)
    20. 5.20. [填空题]继上一题,请分析该店铺分销人员ZYB推荐的用户的总成交订单量是?【填写数字,格式如:10】(9分)
    21. 5.21. [填空题]继上一题,请分析该店铺的2024年12月份的商品毛利额是?【保留小数点后二位,四舍五入,格式如:10.23】(9分)
    22. 5.22. [填空题]继上一题,请分析该店铺2025年1月份的客单价是?【保留小数点后二位,四舍五入,格式如:10.23】(9分)
    23. 5.23. [填空题]继上一题,请分析该店铺2025年1月份新增会员数多少人?【填写数字,格式如:10】(9分)
    24. 5.24. [填空题]继上一题,请分析该店铺2025年5月份的总营收是多少元?【保留小数点后二位,四舍五入,格式如:10.23】(9分)
    25. 5.25. [填空题]继上一题,请分析该店铺的支付方式已启用了多少个?【填写数字,格式如:10】(9分)
  6. 6. 数据分析(7个小题,共63分)
    1. 6.1. [填空题]通过对检材-数据分析中的 “decrypted.sql”分析,找出所有有效VIP用户数量,按vip_type分组统计,并找出vip_type为0的有效VIP用户数量是多少【填写数字,格式如:1234567】(9分)
    2. 6.2. [填空题]统计系统用户的数量?【填写数字,格式如:10】(9分)
    3. 6.3. [填空题]统计各个入金地址的入金情况,列出入金金额最高的入金地址以及入金总额(金额四舍五入,并保留小数点后两位)【按入金地址-入金总额格式填写,格式如:a56dodep34d-100.84】(9分)
    4. 6.4. [填空题]找出每个VIP等级中,充值次数最多的用户,按照VIP等级为0时的用户ID及充值次数;【按“用户ID-充值次数”填写,格式如:1366004113153720320-10】(9分)
    5. 6.5. [填空题]查询同时满足以下条件的用户:有效的钱包地址,账户余额大于100 USDT。列出余额最多的用户id和持有的钱包地址【按“余额最多的用户ID-钱包地址”,格式如:用户ID1-TEXBR3fquH9TQbNFDQ4zM7eT38Utu2JSq9】(9分)
    6. 6.6. [填空题]统计每个用户的:直接下级用户数量,团队总人数(含多级下级),列出团队中VIP4及以上用户数量最多的用户ID,所属团队总人数以及VIP4及以上的用户数量;【按“用户ID-所属团队总人数-用户数量”,格式如:用户ID-100-20】(9分)
    7. 6.7. [填空题]找出推荐最多人的用户,列出该用户的id【填写用户ID,格式如:178451550338787752】(9分)
  7. 7. 数据恢复(7个小题,共63分)
    1. 7.1. [填空题]通过对检材-数据恢复中“team.vhd”分析,镜像文件中“藏宝图.zip”的文件在MFT中被引用了多少次?【填写数字,格式如:10】(9分)
    2. 7.2. [填空题】镜像文件中“洛阳铲.txt”的md5值是后八位多少?【大写字母与数字组合,格式如:12AB3C】(9分)
    3. 7.3. [填空题]监控视频监控的哪一年的数据?【填写数字,格式如:1970】(9分)
    4. 7.4. [填空题]请问总共有多少个用户自建的数据库?【填写数字,格式如:10】(9分)
    5. 7.5. [填空题]请问tpshop库中总共有多少张表?【填写数字,格式如:10】(9分)
    6. 7.6. [填空题]请问该网站的可交易银行有多少家?【填写数字,格式如:10】(9分)
    7. 7.7. [填空题】检材中,总共统计出了152种交易过程中可支付的方式,请问“百度钱包”在该系统中对应的支付类型id是多少?【填写数字,格式如:10】(9分)
  8. 8. apk程序分析(10个小题,共90分)
    1. 8.1. [填空题]通过对检材apk中“”检材一.apk”分析,该app的主入口是?【按实际值填写,参考格式如:com.Nettest.com.Activity】(9分)
    2. 8.2. [填空题]请给出检材一.apk的证书SHA-1值是?(答案:字母需大写)(9分)
    3. 8.3. [填空题]请分析检材一.apk访问的主服务器域名为?(答案格式如:www.baidu.com)(9分)
    4. 8.4. [填空题]分析检材二.apk,在加载applicantion过程中设置的key值为?(按实际值填写)(9分)
    5. 8.5. [填空题]请分析检材二.apk,其加载applicantion过程中解密的文件是?(9分)
    6. 8.6. [填空题]请分析检材二.apk,给出解密使用的解密算法为?(字母需大写)(9分)
    7. 8.7. [填空题]请分析检材二.apk,解密使用的密钥为?(按实际值填写)(9分)
    8. 8.8. [填空题]请分析检材二.apk,其appkey值为?(按实际值填写)(9分)
    9. 8.9. [填空题]请分析检材二.apk,其中appkey会写入到哪个文件中,请给出文件名?(按实际值填写)(9分)
    10. 8.10. [填空题]请分析检材二.apk,其调用微信API时使用到的微信ID为?(按实际值填写)(9分)
  9. 9. exe程序分析(10个小题,共90分)
    1. 9.1. [填空题]通过对检材-PC逆向中“server(请勿在真机运行).rar”分析,样本存在检査逆向相关的进程名,请问检测的数量?(答案格式(十进制表达):15)(9分)
    2. 9.2. [填空题]样本存在通过解密内存中密文dll数据进行加载,请问解密的key是什么?(答案格式:0x55)(9分)
    3. 9.3. [填空题]请问在解密过程中单字节密文一共进行了几次运算?(答案格式:10)(9分)
    4. 9.4. [填空题]样本存在通过解密内存中密文dll数据进行加载,请问解密后的密文dll文件大小是多少?(答案格式:0x15D0)(9分)
    5. 9.5. [填空题]主程序加载了解密后的dll中的哪个函数 ?(答案格式:CreateFile)(9分)
    6. 9.6. [填空题]样本运行过程中,存在向本地释放文件的行为,请问释放的文件名是什么?(答案格式:kernel32.dl)(9分)
    7. 9.7. [填空题]样本运行过程中,存在向指定进程注入的行为,请问被注入的进程名是什么?(答案格式:explore.exe)(9分)
    8. 9.8. [填空题]注入到目标进程的库中存在加密指定后缀的文件行为,请问被加密的文件后缀是什么?(答案格式(多个使用/分割):.dll/.exe)(9分)
    9. 9.9. [填空题]加密后的文件会生成固定格式的文件名,请问生成密文文件名的固定字符串是什么?(答案格式:test )(9分)
    10. 9.10. [填空题]加密指定后缀文件数据时使用的秘钥是什么?(答案格式(字符串):aab)(9分)
©2025 By Ry@n
搜索
数据加载中