2024数证杯决赛个人赛

全国公安机关电子数据取证分析大比武202412031809

40道题，共100.0分

1	4zL!$WpRkmANv@XFQ#7HdEyU&GpoTb56YZ^Jq83!Wr(tqA%XsPB7f@CY1xRmKH9#LeWVG9NuvT$kJ2@7b64Tp(FLM#zqRY8Hv%!KU^9C&YXLpowq87Hr

请根据计算机检材，回答以下问题： (10道题，共19.0分)

计算机中曾挂载的Bitlocker加密分区的恢复密钥后6位为？（答案格式：6位数字） (1.0分)
1
700755
请写出曾远程连接过该计算机的IP；（答案格式：6.6.6.6） (1.0分)
1
192.168.50.227
计算机中曾挂载的vhd非加密分区驱动器号为？（答案格式：大写，如D） (1.0分)
1
M
挂载338899得到bc加密磁盘

挂载996600得到非加密磁盘
接上题，分区中最后修改时间的文件MD5值为？（答案格式：全大写） (1.0分)
1
0A7152C5AA002A3D65DC5C5C5FAAB868
请找到计算机中的Veracrypt加密容器，并写出其解密密码？（答案格式：字母大小写与实际需一致） (6.0分)
1
1P2P3$$pian5p6p78pian
有一个模拟器备份，解压后导入火眼解析

文件在这里

tc挂载
请写出IP为202.113.81.243的发件人向机主发送的邮件附件MD5值；（答案格式：全大写） (1.0分)
1
6CF25FFF7D2882DBF5722B3B9E382B5F
比赛后面放注解说晚一点的附件
计算机中Will Wight - Cradle Series (Books 1-12)- MOBI.torrent文件的下载地址为？（答案格式：http://…） (1.0分)
1
http://suprbaydvdcaynfo4dgdzgxb4zuso7rftlil5yg5kqjefnw4wq4ulcad.onion/attachment.php?aid=4130
计算机中lqrazqq016j41.jpg文件的删除时间为？（UTC+0800）（答案格式：1990-01-01 01:01:01） (1.0分)
1
2024-11-09 21:59:48
Fikret Ceker曾经向机主发送过一张照片，请找到该图片写出其拍摄的GPS坐标；（答案格式：保留小数点后4位，如33.3333N,33.3333E） (3.0分)
1
40.0112N,112.7001E
计算机中用户“李四”在最后一次成功登录之前登录失败了多少次？（答案格式：纯数字） (3.0分)
1
6

请根据手机检材，回答以下问题（备份密码6666）： (8道题，共19.0分)

分析手机检材，写出苹果手机的序列号是多少？（答案格式：大小写与实际需一致） (1.0分)
1
FK3XDN2UKPJ5
分析手机检材，写出嫌疑人facebook账号的密码是多少？（答案格式：大小写与实际需一致） (1.0分)
1
1234qwer
[多选题] 分析手机检材，下列哪些地址是嫌疑人曾经去过的？ (2.0分)
A: 南宁市青秀区
B: 南宁市江南区
C: 济南市历城区
D: 上海市松江区
E: 上海市宝山区
1
ABCDEF
分析手机检材，嫌疑人安装了用于记账的APP，请问该APP的包名是什么？（答案格式：com.abc.abc） (1.0分)
1
com.maicai.freejizhang

分析手机检材，嫌疑人记账APP中记录的使用支付宝支付的用于礼金红包的金额一共是多少？（答案格式：请写整数金额，如1230元） (5.0分)

17000000

1	select sum(money) from TBL_TRADE where typeuuid in ( select uuid from TBL_OUTGOCATEGORYINFO where name = '礼金红包' ) and accountuuid='7EB78B8F64E24EB6956DC9DB44720794'

分析手机检材，嫌疑人家里路由器密码是多少？（答案格式：大小写与实际需一致） (3.0分)
1
201808188
分析手机检材，写出嫌疑人最新家庭地址；（答案格式：XX市XX区XX路XX弄 (1.0分)
1
上海市浦东新区张杨北路2899弄
分析手机检材，嫌疑人团伙走私的“大麻”的单价是每克多少元？（答案格式：XX元/克） (5.0分)
1
344X元/克
两人所有的记录都在微信里，那么不难看出问题要么存在这张图片，要么存在撤回的消息

foremost得到ole文件，直接wps打开，密码mm20241105

请根据服务器检材，回答以下问题: (6道题，共19.0分)

重建完整的系统后，redis对外暴露的端口号是多少？（答案格式：数字） (3.0分)
1
16379

请找出加密mysql数据库连接密码所用的加密密钥（盐值）？（答案格式：注意大小写） (3.0分)

发现密码加密去jar包找

得到盐值

跟踪StandardPBEByteEncryptor.DEFAULT_ALGORITHM得到算法

逆序来一遍

package cn.zwz.data.utils;

import org.jasypt.encryption.StringEncryptor;
import org.jasypt.encryption.pbe.StandardPBEStringEncryptor;

public class Main {

    public static void main(String[] args) {
        String a = "ij+NuXpx6CZwYB1oGHA2M2E2na0G8Tux";
        String b = "064l9Wwf9KjXlSz0phcwvg+R5xwzCNl7";
        String c = "8fiHevvtSApJ/7UoFXZcMMhzXWIdvyjv";

        StringEncryptor encryptor = getStringEncryptor();

        // 解密并打印结果
        System.out.println(a + "-> " + encryptor.decrypt(a));
        System.out.println(b + "-> " + encryptor.decrypt(b));
        System.out.println(c + "-> " + encryptor.decrypt(c));
    }

    // 配置解密器
    private static StringEncryptor getStringEncryptor() {
        StandardPBEStringEncryptor encryptor = new StandardPBEStringEncryptor();
        encryptor.setAlgorithm("PBEWithMD5AndDES");
        encryptor.setPassword("F*DZ-kZMs5qt");
        return encryptor;
    }
}

或者

jasypt-1.9.3.jar 是 Jasypt 库的一个特定版本，它提供了用于加密、解密、数据保护等功能的 API

C:\Users\31702\Downloads\s048-3.0.0\BOOT-INF\lib>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input=064l9Wwf9KjXlSz0phcwvg+R5xwzCNl7 password=F*DZ-kZMs5qt algorithm=PBEWithMD5AndDES

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 21.0.5+9-LTS-239



----ARGUMENTS-------------------

input: 064l9Wwf9KjXlSz0phcwvg+R5xwzCNl7
password: F*DZ-kZMs5qt
algorithm: PBEWithMD5AndDES



----OUTPUT----------------------

kidsk&klf^rv

请分析得出相亲网站的后台数据库中哪张表存放了会员相关信息，写出表名？ (6.0分)
1
a_member_st
使用navicat连starrocks

已知用户在系统中的所有操作都会被记录，请找出用户在“查询角色”时，其请求的后端路径地址为？（格式：/api/query/…） (3.0分)

1	/zwz/role/getAllByPage

在3306的那个数据库也能找到

C:\Users\31702\Downloads\s048-3.0.0\BOOT-INF\lib>java -cp jasypt-1.9.3.jar org.jasypt.intf.cli.JasyptPBEStringDecryptionCLI input=ij+NuXpx6CZwYB1oGHA2M2E2na0G8Tux password=F*DZ-kZMs5qt algorithm=PBEWithMD5AndDES

----ENVIRONMENT-----------------

Runtime: Oracle Corporation Java HotSpot(TM) 64-Bit Server VM 21.0.5+9-LTS-239



----ARGUMENTS-------------------

input: ij+NuXpx6CZwYB1oGHA2M2E2na0G8Tux
password: F*DZ-kZMs5qt
algorithm: PBEWithMD5AndDES



----OUTPUT----------------------

mA0:xA0^

请分析得出数据库用户表中status为-1状态值的含义为？（格式：学生） (1.0分)
1
禁用
请统计平均月均收入第二高的省份（省份包含三大类：省、直辖市、自治区）（答案格式：请写出完整的省份名（或直辖市名、自治区名），如江西省、天津市、西藏自治区） (3.0分)
1
内蒙古

请根据APK检材，回答以下问题： (6道题，共14.0分)

sdk版本过高，无法在雷电运行，可以考虑安卓死丢丢

分析APK检材，请问程序申请了几项系统权限？（答案格式：6) (2.0分)
1
4
问的是系统权限
分析APK检材，请写出程序的入口邀请码；（答案格式：与实际大小写保持一致） (6.0分)
1
ACBDEF
看到
1
private final native boolean isString(String str);
说明isString(String str) 并没有提供 Java 层的实现，从so文件调用，并通过JNI与java代码交互

看一眼so文件，直接看是ABCDEF但是B和C有偏移
分析APK检材，该程序进行恶意行为时保存的文件使用的加密算法及加密模式是？（答案格式：大写，如XXX-XXX） (1.0分)
1
AES/GCM
分析APK检材，该程序进行恶意行为时保存的文件使用的加密密钥是？（答案格式：与实际大小写保持一致） (3.0分)
分析APK检材，该程序上传文件的服务器通信URL是多少？（答案格式：https://xxxx/xx/xx） (1.0分)
1
https://biwuzhuanyongurl.com/upload
[单选题] 分析APK检材，以下哪个是该程序存在的恶意行为？ (1.0分)
A: 偷偷调用前置摄像头拍照并上传图片至服务器
B: 偷偷调用后置摄像头拍照并上传图片至服务器
C: 后台偷偷录音并上传音频至服务器
D: 偷偷获取通讯录信息并上传服务器
E: 偷偷获取短信信息并上传服务器

从申请权限开始

调用t()

t.f.a执行B.k

使用了前置摄像头

请根据网络流量包检材，回答以下问题： (6道题，共19.0分)

分析网络流量包，请问目录遍历攻击开始时间是什么时候？（答案格式：1990-01-01 01:01:01） (1.0分)
1
2024-10-24 09:26:12
[单选题] 分析网络流量包，可以发现哪种攻击行为？ (1.0分)
A: 网络钓鱼
B: SQL注入
C: 拒绝服务攻击
D: 恶意软件传播
E: 中间人攻击

分析网络流量包，黑客获取到的数据库名称是？（答案格式：小写） (3.0分)
1
secret
分析网络流量包，黑客通过时间盲注获取到的数据是什么？（答案格式：与实际大小写保持一致） (6.0分)
1
Sh r_0r_5ebqet
分析网络流量包，黑客使用什么webshell管理工具控制服务器？（答案格式：请写中文名，无需填写版本号） (3.0分)
1
冰蝎
查看accept头
分析网络流量包，黑客通过后门执行的最后一条命令是什么？（答案格式：与实际大小写保持一致） (5.0分)
请求了两次key，应该是后面的

直接解密后再解一个bs64

使用netA也可以直接出

请根据数据分析检材，回答以下问题： (4道题，共10.0分)

分析数据库检材，该数据库中会员姓名包含“强”字的会员数量为多少？（答案格式：纯数字） (1.0分)
1
2945
属于会员id“89378”的直接下级用户数为多少？（答案格式：纯数字） (1.0分)
筛选parent_id即可
1
11
请计算每名会员的总返佣金额，写出总返佣金额最大的会员id；（答案格式：纯数字） (3.0分)
1
87314
计算在2024年5月1日到2024年5月30日之间（包含5月1日和5月30日），总提现金额大于1000的用户数量；（答案格式：纯数字） (5.0分)
1
11756