admin管理员组文章数量:1570426
第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛
文章目录
- 第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛
- 基本情况
- 基本案情
- 检材
- 鉴定过程
- 检材一硬盘的MD5值为多少?(1分)
- 检材一bitlocker的恢复密钥是多少?(5分)
- 检材一镜像中用户最近一次打开的文件名是什么?(1分)
- 检材一硬盘系统分区的起始位置?(2分)
- 检材一系统的版本号是多少(格式:x.x.x.x)(1分)
- 检材一回收站中的文件被删除前的路径(2分)
- 检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)
- 检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)
- 检材一Chrome浏览器最后一次搜索过的关键词是什么(2分)
- 检材一是否连接过U盘,如有,请给出U盘的SN码(2分)
- 检材一Edge浏览器最早一次下载过的文件文件名是(2分)
- 嫌疑人访问的微博的密码的MD5值(3分)
- 检材二备份的设备名称是什么?(1分)
- 检材二手机的IOS系统版本是多少(1分)
- 检材二备份的时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(1分)
- 嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。(格式:YYYY-MM-DD HH:MM:SS)(2分)
- 检材二使用过的号码ICCID是多少。(2分)
- 检材二手机中高德地图最后搜索的地址。(2分)
- 检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
- 检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
- 检材二中“小西米语音”app的Bundle ID是什么? (2分)
- 检材二中浏览器最后一次搜索的关键词是什么?(2分)
- 嫌疑人和洗钱人员约定电子钱包的品牌是什么,如有多个用顿号分隔。(3分)
- 嫌疑人和洗钱人员约定电子钱包的金额比例是什么。(3分)
- 检材三中进程“FTK Imager.exe”的PID是多少?(2分)
- 检材三中显示的系统时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(2分)
- 检材三中记录的当前系统ip是多少?(2分)
- 检材四中迅雷下载过的文件名是什么?(1分)
- 检材四中安装了哪些可是实现翻墙(VPN)功能的app?(1分)
- 检材四备份的设备系统版本是多少?(1分)
- 检材四备份的时间是多少(答案以13位时间戳表示)(1分)
- 检材四中FileCompress app 包名是什么?(1分)
- 检材四中备忘录记录的内容是什么?(1分)
- 请列出检材四中所有虚拟币钱包app的包名,如有多个用顿号分隔。(3分)
- 检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么?(3分)
- MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置(2分)
- 检材中受害人的微信号是多少?(2分)
- 嫌疑人曾通过微信购买过一个公民信息数据库,该数据库中手机尾号是8686的用户的姓名是(3分)
- 嫌疑人手机中是否保存了小西米语音app的账号密码,如有,请写出其密码(5分)
- 公民信息数据库中,截止到2023年12月31日,年龄大于等于18且小于等于30岁之间的用户信息数量(5分)
- 受害人小浩的手机号码是多少(5分)
- 完整的受害人名单是几个人。(6分)
- 受害人转账的总金额是多少(5分)
- 总结
基本情况
基本案情
受害人报案,其被嫌疑人王某多次通过微信进行诈骗,对受害人手机进行快采后,公安机关根据已有线索,发现可能存在多个受害人被该嫌疑人通过同样的方式进行诈骗。公安机关现已将嫌疑人iphone手机、红米手机、电脑进行备份、镜像。
检材
(1)检材1为“检材1.rar”的压缩包,文件大小为26,733,550,222 字节,MD5校验值为663595771FA127895307413979758C15,是从嫌疑人电脑提取的镜像文件。
(2)检材2为为“检材2.rar”的压缩包,文件大小为889,434,254 字节,MD5校验值为4BDFE927A945D90ABACA670BE547E594,是从嫌疑人iphone手机提取的备份文件夹。
(3)检材3为“检材3.rar”的压缩包,文件大小为2,376,793,278 字节,MD5校验值为00E8D29E9A610F79644A54FF9A55BDA5,是从嫌疑人电脑提取的内存镜像文件。
(4)检材4为“ 检材4.rar”的镜像,文件大小为5,589,216,702 字节,MD5校验值为C747C3699A3CFE08B3C2E8BF9FA64B07,是从嫌疑人红米手机提取的备份文件夹。
鉴定过程
检材一硬盘的MD5值为多少?(1分)
80518BC0DBF3315F806E9EDF7EE13C12
检材一bitlocker的恢复密钥是多少?(5分)
推荐使用EFDD2.2,问就是又快又好
十秒钟就差不多了,跑完应该是这样的
585805-292292-462539-352495-691284-509212-527219-095942
检材一镜像中用户最近一次打开的文件名是什么?(1分)
列表.xlsx
检材一硬盘系统分区的起始位置?(2分)
649216*512=332398592
检材一系统的版本号是多少(格式:x.x.x.x)(1分)
120.2212.31.0
检材一回收站中的文件被删除前的路径(2分)
C:/Users/rd/Desktop/iTunes(12.13.0.9).exe
检材一给出最后一次修改系统时间前的时间(格式:YYYY-MM-DD HH:MM:SS)(3分)
2023-12-12 16:37:12
检材一最后一次远程连接本机的时间(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-11 15:57:02
检材一Chrome浏览器最后一次搜索过的关键词是什么(2分)
常见的诈骗话术2023
检材一是否连接过U盘,如有,请给出U盘的SN码(2分)
SN码就是序列号
FC2005927F271
检材一Edge浏览器最早一次下载过的文件文件名是(2分)
火眼和取证大师不大一样
winrar-x64-624scp.exe
嫌疑人访问的微博的密码的MD5值(3分)
from hashlib import md5
print(md5('!dfrDj*&j98_jUe8'.encode()).hexdigest())
5cb42860b3b61ef6dd361ad556f48e05
检材二备份的设备名称是什么?(1分)
“User”的 iPhone
检材二手机的IOS系统版本是多少(1分)
17.0
检材二备份的时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(1分)
2023-12-09 15:02:28
嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-04 13:18:50
检材二使用过的号码ICCID是多少。(2分)
89860000191997734908
检材二手机中高德地图最后搜索的地址。(2分)
万达广场(南沙店)
检材二手机最后一次登陆/注册“HotsCoin”的时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-04 13:28:14
检材二手机中照片“IMG_0002”的拍摄时间是(格式:YYYY-MM-DD HH:MM:SS)(2分)
2023-12-06 11:08:30
检材二中“小西米语音”app的Bundle ID是什么? (2分)
其实就是包名
com.titashow.tangliao
检材二中浏览器最后一次搜索的关键词是什么?(2分)
小西米语音app下载
嫌疑人和洗钱人员约定电子钱包的品牌是什么,如有多个用顿号分隔。(3分)
在备份ios的小西米里面
ETH、BTC
嫌疑人和洗钱人员约定电子钱包的金额比例是什么。(3分)
0.2
检材三中进程“FTK Imager.exe”的PID是多少?(2分)
好像这里好多人镜像解析不出来,那就是CTF做少了/doge
MemProcFS一把梭
D:\Forensics\MemProcFS>MemProcFS.exe -device "D:\VM\machine\share\memdump2023.raw" -forensic 1
Initialized 64-bit Windows 10.0.19041
============================== MemProcFS ==============================
- Author: Ulf Frisk - pcileech@frizk.net
- Info: https://github.com/ufrisk/MemProcFS
- Discord: https://discord.gg/BCmfBhDPXX
- License: GNU Affero General Public License v3.0
---------------------------------------------------------------------
MemProcFS is free open source software. If you find it useful please
become a sponsor at: https://github.com/sponsors/ufrisk Thank You :)
---------------------------------------------------------------------
- Version: 5.8.19 (Windows)
- Mount Point: M:\
- Tag: 19041_bab51ae1
- Operating System: Windows 10.0.19041 (X64)
==========================================================================
11328
检材三中显示的系统时间是多少?(格式:YYYY-MM-DD HH:MM:SS)(2分)
因为是UTC所以+8
2023-12-12 12:06:25 UTC
检材三中记录的当前系统ip是多少?(2分)
172.18.7.229
检材四中迅雷下载过的文件名是什么?(1分)
《向银河靠近》.txt
检材四中安装了哪些可是实现翻墙(VPN)功能的app?(1分)
检材四备份的设备系统版本是多少?(1分)
V14.0.2.0.TKSCNXM
检材四备份的时间是多少(答案以13位时间戳表示)(1分)
1702459232429
检材四中FileCompress app 包名是什么?(1分)
com.zs.filecompress
检材四中备忘录记录的内容是什么?(1分)
Vcpswd:edgewallet
请列出检材四中所有虚拟币钱包app的包名,如有多个用顿号分隔。(3分)
检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么?(3分)
3KnPxPvpZ43pSc6sUT4Zqsc7pK1Xz5NtMH
MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置(2分)
20231213_172032.tar/20231213_172032/FileCompress(com.zs.filecompress).bak/FileCompress/11月.txt
检材中受害人的微信号是多少?(2分)
B-I-N-A-R-Y
嫌疑人曾通过微信购买过一个公民信息数据库,该数据库中手机尾号是8686的用户的姓名是(3分)
在Windows里面找到了目标数据库
SELECT name
FROM users
WHERE phone LIKE '%8686';
章敏
嫌疑人手机中是否保存了小西米语音app的账号密码,如有,请写出其密码(5分)
jamvU1@wiwgug$bo
公民信息数据库中,截止到2023年12月31日,年龄大于等于18且小于等于30岁之间的用户信息数量(5分)
SELECT COUNT(1)
FROM users
WHERE SUBSTRING(IDCARD, 7, 8) BETWEEN '19931216' AND '20051216';
1578
受害人小浩的手机号码是多少(5分)
反编译FileCompress
try {
File file2 = new File(str, MainActivity.this.fileName + ".txt");
Log.d("TAG", "文件路径: " + str);
FileWriter fileWriter = new FileWriter(file2);
fileWriter.append((CharSequence) obj);
fileWriter.flush();
fileWriter.close();
Toast.makeText(MainActivity.this, "写入成功", 0).show();
MainActivity.this.doZipSingleFileWithPassword(file2, "1!8Da9Re5it2b3a.");
} catch (IOException e) {
e.printStackTrace();
Log.d("TAG", "写入失败: " + e.getMessage());
Toast.makeText(MainActivity.this, "写入失败", 0).show();
}
压缩包密码:1!8Da9Re5it2b3a.
解压打开
11月电诈名单
小浩 13533333333
王明 13522222222
13533333333
完整的受害人名单是几个人。(6分)
套娃题
先是vc容器
vc容器的密码是edgewallet
挂上去以后是这样的
9月诈骗名单
周强 17711111111
刘红 17722222222
10月诈骗名单
小李 13611111111
王丽 13622222222
6
受害人转账的总金额是多少(5分)
600
总结
团队赛第四,做到最后手冷到打不了字QAQ,警大的同学好热情~
Galaxy#b3nguang 写于2023/12/20
版权声明:本文标题:第四届“中科实数杯”全国电子数据取证与司法鉴定挑战赛 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://m.elefans.com/dongtai/1727660785a1124230.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论