2024年1月28日,由取证与溯源、数据取证杂谈、电子取证wiki、XiAnG学安全、火炬木攻防实验室、山警网络空间安全实验室联合举办的“獬豸杯”电子数据取证大赛圆满结束!撒花~🏆本次比赛参与人数近千人!
历经三个小时比赛的激烈角逐,获奖名单如下:
附:本次竞赛解题思路!期待下次再战!!!
手机取证
1、IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)
2024-01-15.14:19:45
2、请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)
3
①分析包名即可:陌陌、QQ、小西米语音
②还原备份到真机(此方法最高效,备份包无备份密码,需注意没有icloud密码可能会导致手机变砖无法还原)
3、手机机主的号码的ICCID是多少。(标准格式:阿拉伯数字)
89860320245121150689
4、手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)
20240115
5、请问嫌疑人家庭住址在哪个小区。(标准格式:松泽家园)
天铂华庭
6、Safari浏览器书签的对应数据库名称是什么。(标准格式:sqltie.db)
Bookmarks.db
7、手机机主计划去哪里旅游。(标准格式:苏州)
拉萨
8、手机机主查询过那个人的身份信息。(标准格式:龙信)
龙黑
9、请问机主共转多少费用用于数据查询。(标准格式:1000)
1100
10、机主查询的信息中共有多少男性。(标准格式:阿拉伯数字)
3
计算机取证
1、计算机系统的安装日期是什么时候。(标准格式:20240120)
20240112
2、请问机主最近一次访问压缩包文件得到文件名称是什么。(标准格式:1.zip)
data.zip
3、还原数据库,请分析root用户最后一次更改密码的时间是什么时候。(标准格式:2024-01-20.12:12:12)
①在手机备忘录中找到D盘BitLocker加密秘钥,Longxin@123
②在Foxmail中找到相关聊天记录爆破data.zip
③还原数据库参考本公众号历史发表
④在数据库mysql库中user表里可以查看到root用户密码修改记录
4、请问mysql数据库中共存在多少个数据库。(标准格式:阿拉伯数字)
5
5、员工编号为204200的员工总工资为多少元。(标准格式:阿拉伯数字)
488313
6、Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。(标准格式:阿拉伯数字)
1468
7、请问邮箱服务器的登录密码是多少。(标准格式:admin)
900110(找到密码加密哈希串进行在线解密)
8、邮件服务器中共有多少个账号。(标准格式:阿拉伯数字)
3
9、邮件服务器中共有多少个域名。(标准格式:阿拉伯数字)
3
10、请问约定见面的地点在哪里。(标准格式:太阳路668号)
中国路999号(winhex更改图片长度)
APK分析
1、APK包名是多少。(标准格式:com.xxx.xxx)
com.example.readeveryday
2、APK的主函数名是多少。(标准格式:comlongxin)
StartShow
3、APK的签名算法是什么。(标准格式:xxx)
SHA1withRSA
4、APK的应用版本是多少。(标准格式:1.2)
1.0
5、请判断该APK是否需要联网。(标准格式:是/否)
是
6、APK回传地址?(标准格式:127.0.0.1:12345)
10.0.102.135:8888(抓包即可)
7、APK回传数据文件名称是什么。(标准格式:1.txt)
Readdata.zip(分析上述流量包即可确定文件名称)
8、APK回传数据加密密码是多少。(标准格式:admin)
19_08.05r(用密码解压上题加密文件验证即可)
9、APK发送回后台服务器的数据包含以下哪些内容?(多选)
A.手机通讯录
B.手机短信
C.相册
D.GPS定位信息
E.手机应用列表
①对上题抓取的流量包进行分析并导出相关字节流,命名为“Readdata.zip”
②使用二进制工具进行修复zip文件,注意文件头即可(使用上提的解压密码进行解压)
③分析解压出来的“readdata.xml”文件即可得到目标答案:ABE
关注以下主办方公众号马上发起本次比赛【抽奖活动】哦~~~
提前感谢金主【龙信科技】
