阴差阳错地填错了一些必对题。。就当是经验教训了

一、手机取证

1. 该手机备份压缩包的MD5值是多少?(答案格式:英文全大写)

火眼哈希,这里可以直接大小写转换

86E786FD5A0A91E23174B484BAFEDAEA

2. 嫌疑人的电子邮箱地址是多少?(答案格式:n13di@163.com

zaj123qaz@163.com

3. 哪个邮箱给她发送的公民信息文件?(答案格式:n13di@163.com


yet132qwe@163.com

4. 嫌疑人浏览最多的奢侈品网站是哪个?

A.爱马仕

5.嫌疑人记录公务员信息的应用“备忘录记事”包名是什么?(ab.cd.ef)

雷电APP智能分析notepad.beiwang.jishi

6. 应用“备忘录记事”中记录了多少年龄小于30岁的人员信息?(答案格式:123)

everything快速搜索notepad.beiwang.jishi

发现并打开SQL:

4

7.嫌疑人曾使用文档扫描软件扫描过文件,请问该扫描软件的名称是什么?(答案格式:名称全称)

是否扫描过文件有待验证

发现一些temp文件。

夸克扫描王

8. 嫌疑人使用文档扫描软件扫描的文件内容是什么?( )

如上图

C.伪装身份话术

9. 嫌疑人使用的名称为“薄荷记账”的记账软件共记录了多少笔交易?(答案格式:123)

先在雷电APP智能分析里复制包名melandru.lonicera

搜索后找到账本数据:

X-Ways Forensics查找也可以

使用DB Browser for SQLite查看

UserTrascation里面找

13

10.该记账软件中关于诈骗提成分红的收入明细一共多少钱?(答案格式:123)

3281

二、计算机取证

1. 其电脑的设备名称是什么?(答案格式:以实际为准)

不小心把英文名称提交了。

暴富888

2. 其电脑连接互联网的物理地址(MAC)是多少(答案格式:01-AC-15-R2-B1-3C)

立刻反应:网络配置器—物理网卡

00-0C-29-E3-C6-2B

3. 其电脑2025年6月9日最后一次接入USB设备序列号的后六位是?(答案格式:以实际为准,英文字母全大写)

123AD3

4. 其电脑BitLocker加密分区的48位恢复密钥的后六位是多少?(答案格式:123456)

推荐解法:Elcomsoft Forensic Disk Decryptor爆破

这里去解析内存镜像获取BitLocker恢复密钥(DNmemdump.mem要起作用了)

恢复秘钥:

没有这个,后续操作举步维艰!!!

200189

5. 当前该公司后台服务器使用的云服务器是哪个厂商的?(答案格式:京东云)

亿速云

6. 当前该公司后台服务器ssh远程端口是多少?(答案格式:123)

223

7.嫌疑人使用的苹果手机序列号是多少?(答案格式:ABCD1234)

在E:\个人找到iTunes备份文件夹中的Manifest.plist

用plist editor打开方便一点。

搜索序列号:SerialNumber

C8PZFDJXN741

8. 嫌疑人曾使用的苹果手机备份四位数字密码是多少?(答案格式:1234)

Manifest.plist备份密码爆破

四位数一分钟就爆破出来了

0122

passware kit forensic、hashcat使用-CSDN博客

9. 嫌疑人使用的以太坊钱包名称是什么?(答案格式:AbcDe)

平航杯也出现过这个以太坊钱包。看来在虚拟钱包里真的很流行

MetaMask

10.嫌疑人使用的以太坊钱包版本是多少?(答案格式:26.16.0)

注意到浏览器扩展的版本

或者直接火眼扩展程序里看,同时解决两道题

12.13.0

11.嫌疑人的以太坊钱包私钥助记词第4个单词是什么?(答案格式:以实际为准)

cloud

12. 嫌疑人的Skype账号是多少?(答案格式:以实际为准)

live:.cid.d2bb7d5a13237f1d

13.嫌疑人电脑中Skype应用的安装日期是多少?(答案格式:1900/01/01)

这个仿真看最方便,注意格式。

2025/04/01

14. 嫌疑人电脑中安装的VPN软件名称是什么?(答案格式:Abc VPN)

Any VPN

15. 嫌疑人自己使用Wireshark抓的流量包文件名称是什么?(答案格式:以实际为准,包含文件扩展名)

打开wireshark,只有一个文件

test.pcapng

16. 该流量包开始抓取第一个分组的时间是什么?(答案格式:1900/01/01 01:00:00)

捕获文件属性****Ctrl+Shift+ALT+C

直接出答案

2025/04/03 12:47:18

17. 抓取该流量包的总时长是?

如上图

A. 00:02:14

18.该流量包中IPV4地址为3.24.46.4的占比是多少?

无需手算了

99.74%

19. 嫌疑人使用的AI换脸软件中,当前调用的onnx(Open Neural Network Exchange,开放神经网络交换)格式的模型文件有几个?(答案格式:1)

5

20. 嫌疑人注册登录的数字天堂开发工具的账号是什么?(答案格式:aaa@bbb.ccc

缩小范围至HBuilder

wanggui0411@outlook.com

21. 分析嫌疑人电脑里的APK前端源码,如办案人员需要对该APK进行调证,请问调证值是多少?(答案格式:英文大写)

看manifest.json

一般来说:id号就是调证值

H5AAA8907

22. 该APK的中文名称是什么?(答案格式:以实际为准)

甜心直播

23. 该APK前端页面展示了多少名女生的信息?(答案格式:3)

我一开始这样看,但其实不是4。

要去看list.html,这才是核心的前端页面

7

24. 该APK中的API调用的API Server是多少?(答案格式:以实际为准,如http://www.qasz.com/abc/def/)

方法一:XWF在项目data右键同步搜索:

方法二:直接搜索var(定义)

http://www.tianxinbobo.com/csapi/uploads/

25. 分析嫌疑人电脑里的APK前端源码,该APK源码的静态资源文件内有多少个png类型的图片?(答案格式:3)

这里只算images里的,unpackage不算静态资源。

14

三、服务器取证

1. 涉案服务器A的操作系统(Operating System)的内核版本是什么?(1.2.3-456.abc.efg_123)

法二:

3.10.0-957.el7.x86_64

2. 涉案服务器A的ssh的端口号是多少?

第一次仿真服务器,有点激动

密码重置为123456

打开终端,ip a 查看虚拟机中所有网络

ens33(默认网卡)正常来说在inet下面有类似192.168的东西

有个方法:设置——添加——网络适配器——自定义网段

然后虚拟网络编辑器里看,不用管桥接,就看仅主机和NAT。选一个网段DHCP(动态网络分配)设置,起始位置记得选3~254。

192.168.213.3

发现连不上

ping这个网段是通的

回到终端,systemctl status sshd看看ssh服务

或者ss -tunlp | grep ssh

都能看到端口不是22,而是222

222

3. 分析服务器镜像A,涉案服务器的ip地址是什么?(答案格式:123.123.123.123)

https://192.168.213.3:13273/9e0976f3

这题ip a解决

10.0.0.11

4. 涉案服务器A中使用的nginx版本号是多少?(答案格式:1.2.3)

1.18.0

5. 涉案服务器A中mysql的端口号是多少?(答案格式:123)

tips:一般默认3306

直接输入ss -tunlp | grep mysql

3340

6. 涉案服务器A中宝塔面板绑定的手机号码后四位为?

火眼直接看

2768

7. 涉案服务器A中宝塔面板最早保存的第一次登陆时的ip地址和端口号是什么?(答案格式:123.456.789.123:456)

192.168.136.1:60332

8. 涉案服务器A前端登录网址是什么?(答案格式:http://xxx.xxx.xxx.xxx/../....)

日志

用Notepad+打开

http://10.0.0.11/mobile/login.html

9. 涉案服务器A平台共成功充值了多少金额?(答案格式:12340.56)

连接数据库

root密码:b21829007afcc1a3

充值找recharge,status留意是1

30920984.57

10. 根据涉案服务器A回答,肖一帆一共发展了多少个用户作为直接下线?(答案格式:123)

肖一帆

id:11131再查找

top指的是上级。

7

11. 根据涉案服务器A中VIP6等级的积分限制是多少?(答案格式:123)

1000000

12. 根据涉案服务器A分析652301196309100847是谁的银行卡?(答案示例:王五)

李进华

  1. 根据涉案服务器A分析商户号为12348888的商户其APPkey是多少?(答案格式:以实际为准,字母小写)
    abcdefg

14. 根据涉案服务器A分析佐维创投集团有限公司的具体地址是什么?(答案格式:以实际为准)

澳门中环夏悫道12号美国银行中心30楼

15. 根据涉案服务器A分析阿里云接口API的银行卡接口地址是多少?(答案格式:以实际为准)

https://market.aliyun.com/products/56928004/cmapi012976.html

16. 分析嫌疑人的云服务器B,涉案服务器中Java网站源码jar包名称是?(答案格式:包含后缀)

豆包终于聪明了一回

或者服务器B仿真:

find / -name *.jar

bh-wms-0.0.1-SNAPSHOT.jar

17. 分析嫌疑人的云服务器B,涉案Java网站数据库root账号的密码是多少?(答案格式:Abc@123456)

jadx打开这个jar

Tuojie@666

18. 分析嫌疑人的云服务器B,涉案Java网站的端口是多少?(答案示例:3123)

同一页

8080

19. 分析嫌疑人的云服务器B,该网站后台保留的登录账号的用户昵称为?(答案格式:老李)

法一直接虚拟机里:

ss -tunlp

运行一下jar文件:

java -jar /project/bh-wms-0.0.1-SNAPSHOT.jar

也能看到网站端口8080:

法二:

java -jar /project/bh-wms-0.0.1-SNAPSHOT.jar

上下移动看很方便

http://192.168.213.4:8080

注意!明确显示是 HTTP 协议,不是 HTTPS

18288888888

三弟

  1. 分析嫌疑人的云服务器B,位于南京市江宁区的货物仓库存有多少个产品?(答案格式:123)

    21626