avatar
文章
58
标签
11
分类
4
主页
分类
标签
归档
友链
留言板
关于
w3nx1z1
搜索
主页
分类
标签
归档
友链
留言板
关于

2023浙警联合赛

发表于2024-04-11|更新于2024-04-11|取证
|字数总计:9|阅读时长:1分钟|阅读量:
文章作者: w3nx1z1
文章链接: http://w3nx1z1.github.io/2024/04/11/2023浙警联合赛/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 w3nx1z1!
上一篇
2023FIC(除了两个程序分析)
下一篇
vulnhub靶场记录DC-8
评论
avatar
w3nx1z1
你相信引力吗?
文章
58
标签
11
分类
4
Follow Me
公告
欢迎来到w3nx1z1的博客!
目录
  1. 2023浙警联合赛
    1. 案情简介
    2. 受害人计算机
      1. 11 根据镜像分区,确定原笔记本内有多少个文件系统分区?
      2. 12 你能找到硬盘操作系统分区内的开始逻辑区块地址(LBA)? (答案格式: 扇区, Sector)
      3. 13 操作系统所在分区的文件系统是哪种
      4. 14 操作系统分区,每个簇(Cluster)包含几个扇区(sectors)?
      5. 15 该请问操作系统的安装日期是?
      6. 16 用户“dalei"的唯一标识符(RID)是什么?
      7. 17 Administrator总共登录系统多少次?
      8. 18 以下哪个帐号曾经远端登录系统?
      9. 19 操作系统的版本?
      10. 7 回收站里面有一张图片,这张地图原来的文件名是什么?(答案格式:文件名.扩展名)
      11. 20.根据填空第7小题,上述地图原来的储存路径是?
      12. 21.受害人使用以下哪个电子邮件发送/接收的程序?
      13. 22.接上题,受害人什么时候收到诈骗电邮?(作答后先跳转填空第8题)
      14. 8.接单选22题,邮件的附件诱导下载一个病毒文件,这个文件的MD5哈希值是?
      15. 23.接填空第8题,上述的病毒文件最后一次什么时间被系统执行? (答案格式-“本地时间":YYYY-MM-DD HH:MM +8)
      16. 24.接上题,这个病毒是否会在重新开机后自动运行?如会,它是通过下列哪个程序执行?
      17. 25.接上题,病毒文件被执行后有以下哪个文件被生成?
      18. 26.法证人员于之后对系统作以下哪项取证?
      19. 27.法证人员到场后,以下哪个软件曾经在系统里运行过?
      20. 28.接上题,所抓取的资料被储存为以下哪个文件?
      21. 29.接上题,上述档案储存到以下哪个分区?
      22. 1.笔记本电脑己成功取证并制作成镜像,其MD5哈希值是?
      23. 2.该操作系统中,最后的关机时间? (答案格式东八区时间:YYYY-MM-DD HH:MM)
      24. 3.该操作系统中,计算机的主机名是?
      25. 4.检材内有一bitlocker磁盘,该磁盘的密码为:
      26. 5.接上题,开启上述磁盘内有一压缩包,压缩包内有一flag值,请问是?
      27. 6.administrator用户桌面文件中,flag的字体为
      28. 7、8题在上面
    3. 受害人手机
      1. 30.在手机镜像文件中, 请问该用户数据分区(userdata partition)的文件系统类型是什么?
      2. 31.如果手机安装了应用程序, 你会在哪个位置找寻该应用程序的“apk"文件?
      3. 32.在手机镜像文件中, 哪一个文件包含日历记录?
      4. 33.在手机镜像文件中, 哪个文件用于存储“微信”记录?
      5. 11.接单选33题, 检查“微信"数据库, 请问“BugMaker”和“写Bug小能手”共有多少条通讯记录
        1. 一、保存聊天信息数据库
        2. 二、找到数据库解密密码
        3. 三、使用sqlcipher进行解密
      6. 12.接上题,微信聊天记录中“BugMaker”的银行账号为
      7. 9.请通过分析给出连接过普联设备 WiFi的密码
      8. 10.Android 系统解锁密码是?
    4. 受害人手机APK(不太会APK随便写写了)
      1. 13.手机中有一APK具有文件加解密功能,请找出该APK,其签名有效期终止年份为
      2. 14.接上题,该APK的包名是什么?
      3. 15.接上题,APK的SHA256值是什么?(32位小写)
      4. 16.接上题,APK有几个用户界面?(格式:3)
      5. 17.接上题,APK的入口函数是?
      6. 18.接上题,APK中对用户输入的密码执行了什么操作?
      7. 19.接上题,APK查看加密文件的密码是什么?
      8. 20.接上题,APK内被加密文件的文件名是什么?
      9. 21.接上题,APK加解密文件使用的是什么算法?
      10. 22.接上题,请提交解密后界面的flag。(格式:flag{32位小写md5值})
    5. 嫌疑人计算机
      1. 34.该操作系统的内核版本是?(作答后可先跳转填空23题)
      2. 23.嫌疑人桌面上有个”huashu”文件,记载了其准备的邮件钓鱼话术。该文件曾用名是什么?
      3. 24.嫌疑⼈桌⾯上的⽊⻢⽂件sha256哈希值是?
      4. 25.嫌疑⼈是⽤何种⼯具连接⽊⻢的?(例:CobaltStrike,⾸字⺟⼤写)
      5. 26.嫌疑⼈曾尝试在本机搭建过该⼯具,其设置的登陆密码是?
      6. 27.嫌疑⼈之后在服务器上搭建该⼯具并反弹shell。服务器IP地址是?
        1. 更改用户密码
      7. 28.上述平台的端⼝号是?
      8. 29.嫌疑⼈曾将开机密码藏在操作系统某⽂件中以防忘记,请找出嫌疑⼈所使⽤账⼾的密码。
      9. 32.请找出⽇记中的flag线索。(格式:flag{32位md5})
    6. 勒索软件分析(不会逆向 写个答案润了)
      1. 30.嫌疑⼈曾编写过全盘加密的勒索脚本,请写出加密⽅式。(如:RSA)
      2. 31.请找出全盘加密的加密密钥
    7. 流量分析
      1. 33.攻击流量的⽂件名称是?
      2. 34.请提交攻击流量的sha256哈希值。(字⺟⼤写,请根据流量内容作答)
      3. 35.恶意payload的⽂件名是?
      4. 36.恶意Payload的完整下载地址是?(答案⽰例:http://xxx.xxx.xxx/xxx)
      5. 37.请提交Payload的SHA256哈希值。(字⺟⼤写,请根据流量内容作答)
      6. 38.请提交该恶意Payload编译的时间。(答案⽰例:2023-01-01 11:01:01)
      7. 39.请提交Payload在kill k4.exe后,执⾏的命令。(需要包含执⾏命令的参数,如:echo exe hacker)
      8. 40.请提交Payload中需要Base64解码的cmd命令的个数。(答案⽰例:1)
    8. ⼩⽶⼿环⽇志
      1. 41.嫌疑⼈M曾尝试近源攻击并成功连接受害⼈的⼩⽶⼿环,请找出攻击⽇志(样例格式:log)
      2. 42.分析⽇志,受害⼈的⼩⽶⼿环型号是什么?(样例格式:Mi Smart Band 3)
      3. 43.分析⽇志,受害⼈的⼩⽶⼿环MAC地址是什么?(样例格式:00:00:00:00:00:00)
      4. 44.分析⽇志,嫌疑⼈连接时所使⽤的设备型号是什么?(样例格式: GALAXY S7 Plus)
      5. 45.分析⽇志,嫌疑⼈⾸次与⼩⽶⼿环建⽴连接的时间是?(样例格式:2023-03-14 00:00:00,以Source中⾸次出现设备型号为准)
    9. 嫌疑人服务器
      1. 46.请寻找并提交加密镜像密钥的存放路径(请填写绝对路径,提⽰:/xxx/xxx.jpg)
      2. 47.请寻找并提交该加密镜像的解密密钥。(格式 6位字符⼩写)
      3. 48.请解密容器并提交服务器内存的sha256哈希值。(⼤写)
      4. 49.请分析系统中进程的运⾏情况,给出正在运⾏的进程数量。
      5. 50.请找出监听TCP端⼝为8080的进程,给出进程名和程序路径。
      6. 51.请给出UDP端⼝28784的开启时间。
      7. 52.就进程forkd.exe(4812)⽽⾔,该程序的⽗进程(ParentPID)的进程号为 ?
      8. 53.请提交该服务器的操作系统(格式:Windows Server 2008 R2)
      9. 54.请提交服务器内存的打包时间。(UTC+8格式:2023-01-01 10:01:01)
      10. 55.请提交服务器的设备标识符(格式:WIN-2|654IV321Q)
      11. 56.请提交服务器内存中Administrator⽤⼾的SID号。
      12. 57.该服务器⽹站使⽤何种数据库存储?(格式:Mongodb,⾸字⺟⼤写)
      13. 58.请提交上述数据库进程启动时间。(UTC+0格式:2023-01-01 10:01:01)
      14. 59.嫌疑⼈曾使⽤某种⼯具连接数据库,请提交该⼯具进程号(PID)。(格式:4514)
      15. 60.服务器桌⾯存放的数据库⽂件名称是?(格式:sql)
      16. 61.该数据库⽂件的创建时间是?(UTC+0 格式:2023-01-01 10:01:01)
      17. 62.该数据库⽂件的MFT记录编号是?(格式:11451)
      18. 63.嫌疑⼈平时⽤远程桌⾯连接,请提交嫌疑⼈远程桌⾯连接的IP地址(例:1.1.1.1)
      19. 64.该IP地址归属于哪个国家?(例:韩国)
      20. 65.该服务器上搭建的诈骗⽹站是java架构,其使⽤的java版本号是?(格式:1.7.0_291)
      21. 66.该java架构⽹站的配置⽂件名称是?
      22. 67.该java架构⽹站的主域名是?(例:www.baidu.com)
      23. 68.请找出服务器内存中隐藏⽤⼾的名称。(例:User$)
      24. 69.打包镜像时该隐藏⽤⼾正被某远程桌⾯软件连接,请提交该软件的名称。(格式:a.exe)
      25. 70.请提交上述远程桌⾯进程所使⽤的端⼝号。(格式:8888)
      26. 71.在远程桌⾯连接前运⾏着某内⽹穿透软件,请提交该软件的名称(格式:a.exe)。
      27. 72.上述内⽹穿透软件的配置⽂件名称是什么?(格式:my.ini)。
      28. 73.进⾏综合分析,并提交服务器所属的⼚商。(格式:腾讯云)
      29. 35.接填空73题,进⾏综合分析,该诈骗⽹站的类型是?
    10. VPN服务器
      1. 74.vpn服务器的SHA1值
      2. 75.检材的内⽹IP是多少(例:10.0.0.1):
      3. 76.检材共配置了⼏张eth⽹卡(例:1)
      4. 77.检材内安装的VPN⼯具,其压缩包名称为:(例:v2rayN.tar)
      5. 36.接填空77题,检材内VPN软件数据⾃动清除的间隔为
      6. 78.接上题,检材内VPN界⾯已安装的应⽤数量为
      7. 79.综合分析,能否推断上家IP(若能请填写IP,若不能请填写否)
最新文章
2024第一届数证杯初赛wp(计算机、手机、流量分析部分)2024-11-27
Offensive Pentesting-DailyBugle2024-11-26
Offensive Pentesting-GameZone2024-11-26
Offensive Pentesting-Kenobi2024-11-26
Offensive Pentesting-Skynet2024-11-26
©2020 - 2024 w3nx1z1
框架 Hexo|主题 Butterfly
搜索
数据库加载中