计算机检材

龙信杯-计算机取证插图

发现计算机中的EFS加密文件,所以在仿真进入计算机时,不要清除密码。

打开虚拟机,

龙信杯-计算机取证插图1

分析计算机检材,嫌疑人在将其侵公数据出售前在Pycharm中进行了AES加密,用于加密的key是多少?[标准格式:1A23456ABCD]

进入虚拟机后,打开桌面的pycharm文件中的数据,就能找到key

龙信杯-计算机取证插图2
65B2564BG89F16G9

分析计算机检材,身份证为"371963195112051505"这个人的手机号码是多少?[标准格式:13013524420]

思路一

用脚本解密一下encrypted_data.txt文件

from Crypto.Cipher import AES
from Crypto.Util.Padding import unpad
def aes_decrypt(encrypted_data, key, iv):    
    cipher = AES.new(key, AES.MODE_CBC, iv)    
    decrypted_data = unpad(cipher.decrypt(bytes.fromhex(encrypted_data)), AES.block_size)
    return decrypted_data.decode()

key = b'65B2564BG89F16G9'
iv = b'83E6CBEF547944CF'
input_file = "E:\取证\龙信杯\encrypted_data.txt"
output_file = "E:\取证\龙信杯\decrypted_data.txt"

def process_decrypted_data(input_file, output_file, key, iv):    
    with open(input_file, "r") as f_in, open(output_file, "w") as f_out:        
        for line in f_in:            
            parts = line.strip().split(',')            
            index = parts[0]            
            f_out.write(index + ",")

            decrypted_parts = []            
            for part in parts[1:]:                
                decrypted_part = aes_decrypt(part, key, iv)                
                decrypted_parts.append(decrypted_part)

            f_out.write(",".join(decrypted_parts) + "\n")

process_decrypted_data(input_file, output_file, key, iv)
print("解密完成。")

解密完成后,不要直接打开,使用notepad++打开

龙信杯-计算机取证插图3

搜索即可找到:

龙信杯-计算机取证插图4

思路二

对身份证号371963195112051505进行aes加密

龙信杯-计算机取证插图5

加密后的结果放到encrypted_data.txt中进行搜索,由于文件过大,所以使用notepad++打开

龙信杯-计算机取证插图6

然后找到第四列,复制下来,放到aes解密中,获得手机号:

龙信杯-计算机取证插图7
15075547510

分析计算机检材,对解密后的身份证数据列进行单列去重操作,重复的身份证号码数量是多少?(身份证不甄别真假)[标准格式:100]

利用上题解密后的数据,使用EmEditor对身份证列进行去重

附:EmEditor绿色版下载地址:https://pan.baidu.com/s/1eSAdHKFPW9ZOqqWBZJMYyA?pwd=xciy

龙信杯-计算机取证插图8
龙信杯-计算机取证插图9

发现没有重复的数据。

分析计算机检材,接上题,根据身份证号码(第17位)分析性别,男性的数据是多少条?[标准格式:100]

通过上题中的EmEditor,保留身份证列,用ai写个脚本

def count_male_ids(filename):
    male_count = 0

    # 打开文件并逐行读取
    with open(filename, 'r', encoding='utf-8') as file:
        for line in file:
            id_number = line.strip()  # 去除行尾的换行符

            # 检查身份证号长度是否正确
            if len(id_number) == 18:
                # 判断性别
                if int(id_number[16]) % 2 != 0:  # 第17位(索引16)为奇数则为男性
                    male_count += 1

    return male_count

# 调用函数,并打印结果
if __name__ == '__main__':
    filename = input("请输入包含身份证号的文件名:")
    male_count = count_male_ids(filename)
    print(f"男性身份证数量为:{male_count}个")
龙信杯-计算机取证插图10

分析计算机检材,接上题,对解密后的数据文件进行分析,甄别身份证号码性别值与标识性别不一致的数量是多少?[标准格式:100]

只保留身份证列和性别列,然后编写脚本(此处读入文件时的编码应该为gbk编码)

def parse_gender(id_number):
    # 第17位数字决定性别
    gender_code = int(id_number[16]) % 2
    return '男' if gender_code == 1 else '女'

def count_mismatched_genders(file_path):
    mismatch_count = 0

    with open(file_path, 'r', encoding='gbk') as file:
        for line in file:
            data = line.strip().split(',')
            if len(data) != 2:
                print(f"无效的数据行: {line}")
                continue

            id_number, declared_gender = data
            inferred_gender = parse_gender(id_number)

            print(f'{id_number},{inferred_gender}')

            if inferred_gender != declared_gender:
                mismatch_count += 1

    return mismatch_count

if __name__ == '__main__':
    file_path = r'D:\16493\Desktop\test2.txt'
    mismatch_count = count_mismatched_genders(file_path)
    print(f'\n性别不一致的记录共有 {mismatch_count} 条。')
龙信杯-计算机取证插图11
龙信杯-计算机取证插图12
5001185

分析计算机检材,计算机中存在的“VPN”工具版本是多少?[标准格式:1.1]

这个题很简单,到计算机D盘中找即可

龙信杯-计算机取证插图13

分析计算机检材,计算机中存在的“VPN”节点订阅地址是什么?[标准格式:http://xxx.xx/x/xxx]

龙信杯-计算机取证插图14

分析计算机检材,eduwcry压缩包文件的解压密码是什么?[标准格式:abcabc]

龙信杯-计算机取证插图15

分析计算机检材,接上题,请问恶意程序释放压缩包的md5值是多少。[标准格式:全小写]

恶意程序:永恒之蓝

之后相关题:病毒分析之WannaCry勒索病毒 - 吾爱破解 - 52pojie.cn

放弃了。。。

分析计算机检材,VeraCrypt加密容器的密码是什么?[标准格式:abc]

E盘根目录找到data-backup.dd,用压缩包工具打开

龙信杯-计算机取证插图16
龙信杯-计算机取证插图17
data-backup容器密码:qwertyuiop1

分析计算机检材,其中存在一个苹果手机备份包,手机备份包的密码是什么?[标准格式:12345]

龙信杯-计算机取证插图18

由此得知苹果备份包的密码为5位数字,使用Passware Kit Forensic

下载地址:https://pan.baidu.com/s/1PjYNiYbCYCcuF-xUFnvT3g?pwd=xciy

会不会是版本的问题,反正我没跑出来

分析计算机检材,接上题,机主实际篡改多少条微信数据?[标准格式:1]

用龙信的取证查看器,对照缓存数据和聊天的内容出处。

分析计算机检材,在手机模拟器中勒索apk软件的sha256值是什么?[标准格式:全小写]

龙信杯-计算机取证插图19
龙信杯-计算机取证插图20
340bd211955996c5d62bbde94a0bed4eb3a7965b23af52114991bca02346928e

分析计算机检材,接上题,请问勒索apk软件的解锁密码是什么?[标准格式:qwer.com]

龙信杯-计算机取证插图21
anzhuo.com