数证杯25决赛 WriteUP

第二届数证杯决赛

Team: OOQO

只有我自己的,边打编写的,所以应该是可读性一般

团队赛

开局难蚌windows更新

image-20251122094755625

计算机取证

2

请分析计算机检材,用户在2025-10-17 09:19:25通过Everything文件搜索工具打开过哪个文件?请写出其文件名。

IMG_20220402_085728.JPG

image-20251122121834929

3

请分析计算机检材,驱动人生工具下载过的软件全称为?

QQ影音

image-20251122123039887

9

请分析计算机检材,在系统通知中Windows Defender弹出了几次通知?

3

image-20251122120828281

13

请分析计算机检材,“rar备份“文件夹下有两个损坏的压缩文件,压缩包中图片记录的恢复密钥前6位数值为;“rar备份”文件夹中记录的恢复密钥前6位数值为?

031276

发现两个压缩包大小已知,查看16进制发现有很多缺陷,对照发现可以拼出来一个完整的,然后打开查看即可

image-20251122123952763

15

请分析计算机检材,桌面上有个“恢复密钥.jpg”文件其中记录的恢复密钥是错误的,分析该文件找到真正的恢复密钥前6位。

813460

image-20251122130350400

image-20251122130604285

程序功能分析

53

程序在运行时会尝试加载哪个本地库以使用CUDA接口?

nvcuda.dll

image-20251122095750105

54

程序在运行时成功加载了几个CUDA接口函数?

0

image-20251122112540474

55

程序在写入木马时,会进行内存分配,请给出内存分配失败时,每次尝试的分配值(按从大到小顺序,以十六进制字符串数组形式表示)

0x2000000

通过错误日志找到加载函数

image-20251122100333801

需要分析jellydll.dll

然后只发现了一个数值(0x2000000),应该是不对,也有可能是题目描述不清楚

网络流量分析

63

攻击者ip是?

192.168.111.80

image-20251122101256217

数据分析

73

请问和嫌疑人1341732****通话时长最长的对方号码是哪一个?

1387672****

image-20251122103937870

74

根据检材1,请问和已知的5位嫌疑人都有过通话关系的对方号码有几个?

8

image-20251122104551999

76

请问和已知的5位嫌疑人在凌晨2点至6点之间发生过通话的对方号码有几个?

2

image-20251122111935692

物联网取证

84

请分析物联网镜像,该系统挂载点有多少个?

10

image-20251122135952661

85

请分析物联网镜像,该路由器的后台登录IP是多少?

192.168.20.1

image-20251122140133438

86

请分析物联网镜像,该路由器后台的Kernel Version是?

4.14.167

image-20251122141322606

87

请分析物联网镜像,该路由器root目录挂载点里面的文件源是哪个路径?

/dev/root

image-20251122141523613

89

请分析物联网镜像,该路由器系统备份日志压缩包密码是?

opwrt7638

image-20251122142030644

90

请分析物联网镜像,该路由器系统备份日志的MD5是多少?

750840AACA8C3DC5889ECBE8954509E4

image-20251122142152076

个人赛

计算机取证

这检材太有活了

image-20251123131647018

image-20251123102243707

1

请分析计算机检材,用户曾远程连接过IP为192.168.114.51的主机,其远程登陆密码为多少?

uika

image-20251123105814859

2

请分析计算机检材,发现嫌疑人有一定的密码构造习惯,依据其密码使用习惯找出嫌疑人购买拷贝的公民信息表格的密码

这个题就挺离谱的

T0m0r1n
uika

最后在下载里面找到了一个字典

image-20251123133420767

然后密码提示是

image-20251123135301162

6

分析计算机检材, 嫌疑人通过换脸软件一共生成了几张图片?

5

image-20251123103426511

和.job里面的一样

7

接上题,嫌疑人使用换脸软件过程中,选择次数最多的源图片名称?

3d41fc4422dbc33a31ab182179b2117e.jpg

image-20251123104357612

8

接上题, 嫌疑人使用换脸软件过程中,一共尝试了几种换脸模型?

3

image-20251123104714667

image-20251123104701090

image-20251123104639972

9

请分析计算机检材,嫌疑人有一个密码管理软件,记录了备用机密码,请找到该密码。

22E4828017

image-20251123110342873

移动终端取证

13

分析手机检材,检材的MEID号是多少?

99001844373347

image-20251123094618463

14

手机备忘录软件里有一串压缩包解密密码,请问密码是多少?

xinglo-chat

image-20251123095734947

15

手机曾安装过一个小众聊天软件,分析其APP的包名为?

com.xinglo.chat

image-20251123100456111

16

小众聊天软件官网Email地址疑似被加密,请找出解密密钥(Key)为?

XingLuoChat2024!

image-20251123113947250

这边再聊天内容中找到了关系图,记一下

image-20251123113740180

XingLuoChat2024!

image-20251123095734947

美好的一天从现在开始!



unit AESDecrypt;

interface

uses
  Windows, SysUtils, Classes, IdCoder, IdCoder3to4, IdCrypt, IdCryptAES;

function DecryptAES(const Ciphertext, Key, IV: string): string;

implementation

function DecryptAES(const Ciphertext, Key, IV: string): string;
var
  AES: TIdAES;
  Decoder: TIdBase64Decoder;
  Input, Output, KeyBytes, IVBytes: TBytes;
  InputStream, OutputStream: TStringStream;
begin
  Decoder := TIdBase64Decoder.Create(nil);
  InputStream := TStringStream.Create(Ciphertext);
  OutputStream := TStringStream.Create('');
  try
    Decoder.InputStream := InputStream;
    Decoder.OutputStream := OutputStream;
    Decoder.Decode;
    Input := OutputStream.Bytes;
  finally
    Decoder.Free;
    InputStream.Free;
    OutputStream.Free;
  end;

  KeyBytes := TEncoding.UTF8.GetBytes(Key);
  IVBytes := TEncoding.UTF8.GetBytes(IV);

  AES := TIdAES.Create(nil);
  try
    AES.BlockSize := 128;
    AES.KeySize := 128;
    AES.Mode := cmCBC;
    AES.Padding := padPKCS7;
    AES.Key := KeyBytes;
    AES.IV := IVBytes;

    SetLength(Output, Length(Input));
    AES.DecryptBuffer(Output[0], Input[0], Length(Input));

    Result := TEncoding.UTF8.GetString(Output);
  finally
    AES.Free;
  end;
end;

procedure TestDecrypt;
var
  Ciphertext, Key, IV, Plaintext: string;
begin
  Ciphertext := '';  '等待传参
  Key := 'XingLuoChat2024!';
  IV := '1234567890abcdef';
  Plaintext := DecryptAES(Ciphertext, Key, IV);
  ShowMessage(Plaintext);
end;

end.
17

接上题,请分析小众聊天软件官网的Email地址为?

support@xingluochat.com

按照上面的逻辑解密

image-20251123115356738

18

在本案件中,张明向王芳已支付的总金额为多少元?

780000

5+8+12+18+13+22

image-20251123115632289

image-20251123115653284

image-20251123115721833

image-20251123115809966

image-20251123115903322

image-20251123115925570

image-20251123120003689

最后一笔给了10,但是因为没有转账截图我也不知道有没有,案情也没说明白,所以不加上去了

20

分析手机检材,检材中的记账app是通过应用市场APP安装的,该应用市场的包名是?

com.wandoujia.phoenix2

image-20251123120427609

21

分析手机检材,检材中的记账app安装包MD5为?

003e9c929adf12a56770dc5d9c5109a6

image-20251123120558819

22

分析手机检材,嫌疑人记账APP中的支出项一共有几个分类?

7

image-20251123120801620

23

分析手机检材,最终张总给了嫌疑人多少钱?

78万

如果记录可信的话应该是对的,没有案情现在都很懵

服务器取证

25

AI服务的对外端口是多少?

7860

image-20251123124241645

26

当前AI服务共有多少普通用户?

8

image-20251123124620022

27

已知管理员密码是xxxx@2025,x为小写字母,AI服务的管理员明文密码是多少?

密文:

$2b$12$B/A757s9z/N2ESVYYRKtROPvcyqmnqswWfpbeM1oCDqV1myumc9Q2

来不及找加密逻辑了

28

AI服务的对话历史中某个用户上传了一个文件,该文件sha256后八位是多少?

B2D10252

查看message找到文件

image-20251123125937401

29

已知黑客攻击了AI服务器获取了权限,该黑客利用了哪个接口uri进行攻击的?

赛时未找到

程序功能分析

33

分析程序“MicroSoft-Edge.zip”,实现“对桌面文件遍历并加密”逻辑的动态链接库文件为?

MicroSoft-Edge.dll

image-20251123122517578

网络流量分析

39

被攻击ip开放了多少个端口?

1

只看到了80

40

攻击者攻击的站点是什么内容管理系统?

seacms

image-20251123092621763

41

攻击者通过暴力破解获取到的用户账号的密码是多少?

cslab

image-20251123092810670

42

攻击者上传的恶意文件MD5值为多少?

4A5D7DB9CDFBBE9EF6BE58ADD2DD7D43

image-20251123093541209

43

攻击者使用蚁剑执行的最后一条命令是什么?

echo c39d656dc7b

cd /d "C:/WWW/data/admin"&zhengxiang.exe&echo aae855ae69&cd&echo c39d656dc7b

image-20251123094258041

数据分析

45

分析数据库检材,直接推荐了最多下线用户共推荐了多少位下线

这题目我直接就看不懂到底问的什么东西

自己翻译了一下应该是

直接推荐的最多线下用户 共推荐了多少位线下用户

这题根本就不是人读的,而且软件卡了还打不开db,唉