容器文件MD5值：4AAA79BA46C2065FC5C4D5DC97202F3D

容器密码：

/TP2G-h`q#(Ss!EUq,RR:Ss9"@!R"{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;

计算机取证

1.[填空题] 对计算机镜像进行分析，计算该镜像中ESP分区的SM3值后8位为? (答案格式:大写字母与数字组合，如:D23DDF44)(2分)

所以直接找fat32分区即可。

BDBE1073

2.[填空题] 对计算机镜像进行分析，该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00)(2分)

查看用户登录信息即可

也可在计算机基本信息中查看最后正常关机时间

2024-10-25 22:57:32

3.[填空题]对计算机镜像进行分析，该操作系统超管账户有记录的登录次数为?(填写数字，答案格式如:1234)(2分)

登录信息26条

26

4.[填空题] 对计算机镜像进行分析，该操作系统设置的账户密码最长存留期为多少天?(填写数字，答案格式如:1234)(2分)

需要仿真计算机镜像，仿真时出现账户密码，记得保存一下

42

5.[填空题] 对计算机镜像进行分析，该操作系统安装的数据擦除软件的版本为? (答案格式:1.23)(2分)

5.86

6.[填空题] 对计算机镜像进行分析，该操作系统接入过一名称为“Realtek USB Disk autorun USB Device的USB设备，其接入时分配的盘符为?(答案格式:A:)(2分)

E:

7.[填空题] 对计算机镜像进行分析，该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1)(2分)

192.168.43.1

8.[填空题] 对计算机镜像进行分析，该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1)(2分)

192.168.188.1

9.[填空题] 对计算机镜像进行分析，写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合，如:D23DDF44)(2分)

文件位置如图

10887ae1

10.[填空题] 对计算机镜像进行分析，该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字，答案格式如:1234)(2分)

12849

11.[填空题] 对计算机镜像进行分析，该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的? (填写汉字，答案格式:阿里云)(2分)

直接查找xfp文件即可，可能xfp文件被删除了，在回收站中

在回收站也能找到

查找ip地址即可。

亚马逊云

12.[填空题] 对计算机镜像进行分析，获取机主保存在本机的U盾序号的后4位数字为?(填写数字，答案格式如:1234)(2分)

放一个everything到计算机中

找到了一张照片，使用010看一下内容，可能存在其他文件内容，尝试使用foremost分离

分离出现三个文件，在rar压缩包里面，找到一张图片

6409

13.[填空题] 对计算机镜像进行分析，机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024)(2分)

2019

14.[填空题]对计算机镜像进行分析，该操作系统访问“环球商贸”的IP地址为? (答案格式:127.0.0.1)(2分)

39.108.126.128

15.[填空题]对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为? (答案按照实际填写，字母存在大小写)(2分)

接上题

HQSM#20231108@gwWeB

16.[填空题]对计算机镜像进行分析，机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写，字母全小写)(2分)

jlb654321

17.[填空题] 对计算机镜像进行分析，机主搭建的宝塔面板的安全入口为? (答案格式:/abc123)(2分)

在计算机中找到一个镜像文件

添加到检材，进行分析

c38b336a

18.[填空题] 对计算机镜像进行分析，机主搭建的宝塔面板的登录账号为?(答案格式:abcd)(2分)

接上题

igmxcdsa

19.[填空题] 对计算机镜像进行分析，其搭建的宝塔面板的登录密码为? (按实际值填写)(2分) 

加盐密码： 93c35e3af4cfe9a3d19de72d4dce3337

是md5加密，尝试解密

爆不出来，答案：jlb1998

20.[填空题] 对计算机镜像进行分析，机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写)(4分)

接18题

17859628390

21.[填空题] 对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境的root密码为? (按实际值填写)(4分)

在计算机的navicat看到了

123456

22.[填空题] 对计算机镜像进行分析，机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字，答案格式如:1234)(2分)

接上题

3306

23.[填空题]接上题，“卡号分组”表所在的数据库名为? (答案按照实际填写，字母全小写)(4分)

a_train2023

24.[填空题]接上题，“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56)(4分)

AI直出

6610.94

25.[填空题]对U盘镜像进行分析，其镜像中共有几个分区?(填写数字，答案格式如:1234)(2分)

使用FTK挂载后，发现有两个分区

2

26.[填空题] 对U盘镜像进行分析，其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案，答案格式:1234)(2分)

得用R-Studio technician试试

扫描一下分区

1

27.[填空题] 对U盘镜像进行分析，其中FAT32主分区定义的每扇区字节数为? (请使用十进制数方式填写答案，答案格式:1234)(2分)

512

28.[填空题] 对U盘镜像进行分析，其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案，答案格式:1234)(2分）

计算方法：保留扇区=fat扇区位置-起始扇区位置

7345

29.[填空题] 对U盘镜像进行分析，其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案，答案格式: 1234)(2分)

每个wp的答案都不对，取证文库中的答案是9393

做不出来

30.[填空题] 对U盘镜像进行分析，其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案，答案格式:1234)(2分)

39082

31.[填空题] 对U盘镜像进行分析，其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案，答案格式:1234)(4分)

接上题

8

32.对U盘镜像进行分析，请从该镜像的两个分区中找出使用“新建文本文档.txt”记录的同一个 MD5 值的两部分信息，并写出该 MD5 值的第 13--20 位字符串。（答案格式：大写字母与数字组合，如：D23DDF44） (4.0 分)

唯一一张没办法加载的图片

将其恢复后，使用foremost分离，成功获得到一张图片

原图还可以进行元数据编辑，恢复过来照片一样。

JPEG (jpg)，文件头：FFD8FFE0或FFD8FFE1或FFD8FFE8 文件尾：FF D9

发现图片恢复

读题，两个分区，两个不一样的照片，因此从分区2可以找到另一张图片，直接使用foremost分离即可。

这就出来了

D668AEE2

手机取证

1.[填空题]对手机镜像进行分析，机主微信ID号为? (答案按照实际填写，字母全小写)(2分)

wxid_gvlyzqeyg83o22

2.[填空题]对手机镜像进行分析，机主在2023年12月登录宝塔面板使用的验证码为?(填写数字，答案格式如:1234)(2分)

482762

3.[填空题] 对手机镜像进行分析，小众即时通讯“鸽哒”应用程序的最后更新时间为? (答案格式如:1970-01-01 00:00:00)(2分)

通过查找geda的包名

找到最后升级时间即可。

2024-09-20 09:25:19

4.[填空题】对手机镜像进行分析，该手机中记录的最后一次开机时间。(答案格式如:1970-01-01 00:00:00)(2分)

2024-10-24 11:27:14

5.[填空题】对手机镜像进行分析，该手机中高德地图APP应用的登录ID为? (答案按照实际填写)(2分)

950980338

6.[填空题] 对手机镜像进行分析，该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?(答案格式:大写字母与数字组合，如:D23DDF44)(2分)

在手机图片中，过滤一下，查找指定图片

计算一下哈希值即可

2C7FD4F71FFDFFDCB8A98CD7D83ADA5C07F9CD08C49BDDFCB7AF4B18F5007436

本来按照这个思路是没问题的，但是看了一下取证文库，好像这个不是正确的头像

正确的头像就是上图这个

得查找app数据目录，安卓有一个目录专门存放app媒体数据：/media/0/Android/data/

其中一个存放该图片的目录是：分区4/media/0/Android/data/com.autonavi.minimap/files/autonavi/avatar

还有一个是：分区4/media/0/Android/data/com.autonavi.minimap/files/autonavi/httpcache/imageajx

不太好找，所以碰到了找不到可以跳。

SHA256： 572589DAE711B4EA79672E2763A2F54D3D283E5739091779C52324D4B6F241BB

572589DA

7.[填空题] 对手机镜像进行分析，其中20220207-20230206的微信账单文件的解压密码为?(答案格式:按实际值填写)(2分)

在图片里面可以找到，应该是截图保存在了相册里

847905

8.[填空题] 对手机镜像进行分析，机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市)(2分)

找到指定图片

记录图片名称

在火眼位置中找到该图片名称即可

景德镇市

9.[填空题] 对手机镜像进行分析，通过AI合成的人脸照片中，有几张照片是通过本机当前安装的AI照片合成工具生成，并有对应记录的?(填写数字，答案格式如:1234)(4分)

换脸工具如图

每个wp答案不一样，取证文库答案是8张，没找到对应存储相关数据库

10.[填空题] 对手机镜像进行分析，统计出通讯录号码归属地第二多的省份是?(答案格式:广东)(4分)

导出为csv文件，有个智能分列，可以把省份、城市和运营商给分开，分开之后筛选就行。

第二为福建

福建

11.[填空题]对手机镜像进行分析，找出“季令柏”身份证号后4位为?(答案格式:1234)(2分)

直接搜身份证就行，找到一个，但是打不开，导出后分析，首先foremost分离不出来，只能使用010进行编辑了

PNG 文件的十六进制特征

• 文件头：89 50 4E 47 0D 0A 1A 0A
• 文件尾：49 45 4E 44 AE 42 60 82

修改图片头即可

8043

12.对手机镜像进行分析，找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为？（答案格式如：1970-01-01 00:00:00） (2分)

小飞机

2024-09-20 09:29:40

13.对手机镜像进行分析，机主使用的小众即时通讯应用使用的服务器IP为？（答案格式：127.0.0.1） (2分)

小众im为鸽哒，使用雷电进行抓包分析，发现火眼没办法正确启动，所以查找数据库吧

163.179.125.64

14.对手机镜像进行分析，机主在哪个平台上发布过转让传奇游戏币的信息，请写出该平台应用APP的包名？（答案格式：com.abcd） (4分)

直接使用全局搜索，因为搜索的是整个手机，所以时间比较长

com.jiuwu

对手机镜像进行分析，其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少？（填写数字，答案格式如：1234） (4分)

找一下备忘录

现在进不去了，直接抄答案

3000

16.对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的用户ID为？（答案格式：答案按照实际填写） (2分)

2968704175

17.对手机镜像进行分析，找出手机连接过的米家摄像头终端设备的IP地址为？（答案格式：127.0.0.1） (4分)

192.168.110.106

数据分析

1.对计算机，手机，U盘镜像检材综合分析，找出计算机中VC加密容器使用的登录密钥文件，其中逻辑大小较小的文件占用多少个字节？（答案格式：1234） (4分)

取证文库是4096，我觉得应该是1173

2.对计算机，手机，U盘镜像检材综合分析，写出存储的“带彩计划.txt”文件的SM3哈希值前8位；（大写字母与数字组合，如：D23DDF44） (2分)

得挂载一下镜像

vc有个使用密钥文件，导入winhex和finalshell的快捷方式后，进行挂载，挂载不上，跳了

取证文库答案：AF30FFA1

3.对计算机，手机，U盘镜像检材综合分析，写出存储的“Shakepay买币，提币流程.ppt”文件在当前分区的起始簇号；（填写数字，答案格式如：1234） (4分)

这道题也需要挂载，跳了

4.对计算机，手机，U盘镜像检材综合分析，写出存储在手机中，用于访问钱包地址的网站登录密码；（答案按照实际填写，字母全大写） (4分)

X29772024

5.对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址的前8位；（答案格式：abcd1234） (4分)

浏览器edge里面有个mask的扩展，直接登陆就行

0x91cCcA87583969193D87e8A890Beb396687b36c0

0x91cCcA

6.对计算机，手机，U盘镜像检材综合分析，写出存储的钱包地址私钥的前8位；（答案格式：abcd1234） (4分)

e87dca4ce90cdc372dcb3b83a4b06940daa7b41534a2b4d6906abe6d1f861108

e87dca4c

7.对计算机，手机，U盘镜像检材综合分析，统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为？（答案格式：汉字） (2分)

用手里中的图片截图即可，可以找到压缩包的密码，然后直接在计算器中找到压缩包文件，解密后分析excel就行

北贡

流量取证

1.分析网络流量包检材，写出抓取该流量包时所花费的秒数？（填写数字，答案格式：10） (2分)

3504

2.分析网络流量包检材，抓取该流量包时使用计算机操作系统的build版本是多少？（答案格式：10D32） (2分)

接上题

23F79

3.分析网络流量包检材，受害者的IP地址是？（答案格式：192.168.1.1） (2分)

发现出现了大量的目录扫描 然后目标回复not found，所以访问的即为受害者ip

192.168.75.131

4.分析网络流量包检材，受害者所使用的操作系统是？（小写字母，答案格式：biwu） (2分)

Ubuntu

5.分析网络流量包检材，攻击者使用的端口扫描工具是？（小写字母，答案格式：abc） (2分)

811流开始进行端口扫描，扫完后有nmap信息

nmap

6.分析网络流量包检材，攻击者使用的漏洞检测工具的版本号是？（答案格式：1.1.1） (2分)

使用的漏洞检测工具，通常会在ck中的agent标记

3.1.0

7.分析网络流量包检材，攻击者通过目录扫描得到的 phpliteadmin 登录点是？（答案格式：/abc/abc.php） (2分)

先过滤一下，找到非404的内容，然后分析请求，找找post方式

/dbadmin/test_db.php

8.分析网络流量包检材，攻击者成功登录到 phpliteadmin 时使用的密码是？（答案格式：按实际值填写） (2分)

admin