第二届数证杯初赛
容器密码:GQ7aXryvOCM8qGeXa19K9g&jtHSGtrimps@QxaYt4oRwwKHeN0A$#EPv*u
计算机取证分析 请根据计算机检材和内存检材,回答以下问题:
41、操作系统的Build版本号是?(答案格式:1)
19044
42、操作系统设置的账户密码最长存留期为多少天?(答案格式:1)
68
43、用户2登陆密码NT哈希值后六位是?(字母全大写,答案格式:AAAAAA)
A9C708
44、蓝牙mac地址是多少?(答案格式:AA-AA-AA-AA-AA-AA)
9C-B6-D0-04-C9-CC
45、SafeImager的产品序列号后四位是?(字母全大写,答案格式:AAAAAA)
09C4
46、123.VHD所处的结束扇区是?(答案格式:1 )
27445255
47、用户在BitLocker加密分区最后修改的文件是?(答案格式:abcd.txt)
资料1.txt
48、用户连接192.168.114.129时用的会话名称是?(答案格式:按照实际情况填写)
连接阿里云
49、用户创建存储虚拟币钱包地址页面的时间是?(使用双位数格式,答案格式:01月01日)
10月07日
50、用户的虚拟币钱包地址是?(答案格式:按照实际情况填写)
3HrdpWM8ZrBVw9yu8jx1RoNNK6BZxwsHd9
打开anytype,得到一串base64
51、用户VC加密容器的密码是?(答案格式:按照实际情况填写)
SHUZHENGBEIctzy2025
在邮件里面找到了part1、2、3,但是发现解压失败,三个part的大小一样,怀疑存在part4,直接去搜索,发现存在1-5,全部提出来。邮件里面说了解压密码
解压出了一个exe和联系人.docx,末尾发现存在一行vc密码
注意到F盘下面存在一个secretNew,尝试使用这个vc密码解密,发现解出来了。
52、用户在生活中使用的代号是?(答案格式:按照实际情况填写)
小胖
直接把桌面上的代号.wav文件打开,发现频谱图有东西,CTF常见考点
53、李安东的银行卡归属哪个银行?(答案格式:农业银行)
交通银行
告诉了是六位纯数字,直接爆破
54、请分析某市10月6日最高气温是?(答案格式:1)
21
伪加密修复
55、用户的BitLocker密码是?(答案格式:按照实际情况填写)
SZBJSJTM2025
邮件里面一张图片,发现lsb通道里面似乎有东西,于是慢慢找,发现存在可以字符串,倒过来发现可以解开bitlocker。但是发现根据这个参数去用stegsolve好像解不出东西?不知道为什么,这个Yx不知道是不是column的意思
56、用户办公室的门禁密码是?(答案格式:按照实际情况填写)
147963258
用上51题的exe解密vc容器里面的办公室密码锁.jpg.enc,然后发现好像没东西,在图片末尾发现有内容
57、用户使用的以D开头的解密程序的MD5值后六位是?(字母全大写,答案格式:AAAAAA)
3A892E
58、木马程序运行至系统断点前加载了几个动态链接库?(答案格式:1)
5
这里有6个dll,其中有一个wow64cpu.dll存在于64位系统运行32位程序,所以这个不算
59、木马产生的程序名称是什么?(答案格式:abcd.txt)
wins.exe
60、木马尝试访问的域名是什么?(答案格式:按照实际情况填写)
edu-image.nosdn.127.net
这种还是用云沙箱最快了
61、分析计算机内存检材,此内存镜像制作时的系统时间是?(使用双位数格式,答案格式:01月01日)
10月16日
62、分析计算机内存检材,用户Yiyelin的用户表示后4位是?(答案格式:1111)
1002
63、分析计算机内存检材,计算机的CPU型号是什么?(答案格式: i9-1110U)
i7-1165G7
64、分析计算机内存检材,wps.exe的PID是?(答案格式:1)
5888
65、分析计算机内存检材,此计算机开机自启动的远控软件名称是?(答案格式:abcd.txt)
SunloginClient.exe
这题有点不确定,但是直觉感觉就是这个了,首先是远控软件,其次是开机过几秒就创建了的进程。