这篇复盘是这次暑假对上次取证的一次复盘，复盘中参考了部分大佬的博客。后面软路由和服务器暂时还没有整完，还会继续更新。

Android分析

1.涉案应用刷刷樂的签名序列号是(答案格式：123ca12a)

11fcf899

通过雷电一跑就出来了

 2.涉案应用刷刷樂是否包含读取短信权限(答案格式：是/否)

否

没有发现 该权限

3.涉案应用刷刷樂打包封装的调证ID值是(答案格式：123ca12a)

 a6021386163125(注意小写字母)

4.涉案应用刷刷樂服务器地址域名是(答案格式：axa.baidun.com)

vip.shuadan.com

用雷电代理抓包抓一下就可以发现服务器地址

5.涉案应用刷刷樂是否存在录音行为(答案格式：是/否)

是

在雷电里面我们看不到他是不是录音，进行动态监控录音显示的是没有，但用星源可以看到是存在录音行为的

 

 

 6.涉案应用未来资产的包名是(答案格式：axa.baidun.com)

plus.h5ce4b30d

 

7.涉案应用未来资产的语音识别服务的调证key值是(答案格式：1ca2jc)

 53feacdd

8.涉案应用未来资产的服务器地址域名是(答案格式：axa.baidun.com)

 vip.usdtre.club

 9.涉案应用未来资产的打包封装的调证ID值是是(答案格式：axa.baidun.com)

H5CE4B30D

 移动智能终端取证

由于盘古石的那些软件授权到期了，所以只能手搓，有些真的太难找了，实在找不到的和简单的就用之前做的截图了

容恨寒安卓手机

1.根据容恨寒的安卓手机分析，手机的蓝牙物理地址是(答案格式：B9:8B:35:8B:03:52)

2.根据容恨寒的安卓手机分析，SIM卡的ICCID是(答案格式：80891103212348510720)

89014103211118510720

 

3.根据容恨寒的安卓手机分析，团队内部沟通的聊天工具程序名称是(答案格式：微信)

Potato

 

4.根据容恨寒的安卓手机分析，团队内部沟通容恨寒收到的最后一条聊天信息内容是(答案格式：好的)

后面再给你们搞

找到Potato的数据库，然后导出到navicat

挨个看一下，发现在J里面是包含对话信息的，然后按时间降序排序找到容恨寒最后收到的消息，用base64解密

 

 好用的工具，嘿嘿

5.根据容恨寒的安卓手机分析，收到的刷单.rar的MD5值是dc52d8225fd328c592841cb1c3cd1761

根据上文，接受rar应该也在potato软件里，然后我们去storage里面去找，发现该rar，然后计算md5

6.根据容恨寒的安卓手机分析，收到的刷单.rar的解压密码是

 wlzhg@3903@xn

利用脚本将potato里面的对话全部解析出来，看到了加密规则，然后进行爆破

爆破用一下新获得的工具passware

 

然后设置爆破格式

 

  7.根据容恨寒的安卓手机分析，发送刷单.rar的用户的手机号是(答案格式：15137321234)

 15137326185

找到刚才的那个数据库的表，将body那一列进行解密，找到刷单.rar的那个人，为他，然后去O表里面去找这个人的手机号。

 

 

8.根据容恨寒的安卓手机分析，发送多个报表的用户来自哪个部门(答案格式：理财部)技术部

通过前面得到的文档我们可以看到发送最多报表的认识臧某

 他的toid是229

 部门id为109，109为技术部

 9.根据容恨寒的安卓手机分析，MAC的开机密码是(答案格式：asdcz)

apple

 

10.根据容恨寒的安卓手机分析，苹果手机的备份密码前4位是(答案格式：1234) 

1976

 魏文茵苹果手机

11.根据魏文茵苹果手机分析，IMEI号是？

358360063200634

12.根据魏文茵苹果手机分析，可能使用过的电话号码不包括？(答案格式:13527821339)

A：18043618705 B：19212175391

C:19212159177 D:18200532661

 可以直接搜索，发现AC在iPhone里，然后B在安卓里

臧觅风的安卓手机

13.根据臧觅风的安卓手机分析，微信ID是(答案格式：wxid_av7b3jbaaht123)

wxid_kr7b3jbooht322

14.根据臧觅风的安卓手机分析，在哪里使用过交友软件(答案格式：杭州)

西安 

 15.根据臧觅风的安卓手机分析，嫌疑人从哪个用户购买的源码，请给出出售源码方的账号(答案格式：1234524229)

5768224669

通过社交软件聊天记录可以发现

16.根据臧觅风的安卓手机分析，购买源码花了多少BTC？(答案格式：1.21) 

0.08

 17.根据臧觅风的安卓手机分析，接收源码的邮箱是(答案格式：asdasd666@hotmail.com)

molihuacha007@hotmail.com

都在同一个聊天记录里面

容恨寒苹果手机

该备份在容恨寒电脑里，导出后进行分析，密码为前面提到的

18.嫌疑人容恨寒苹果手机的IMEI是?(答案格式:2000-01-01)

353271073008914

 19.嫌疑人容恨寒苹果手机最后备份时间是?(答案格式:2000-01-01 13:36:25)

2023-04-12 21:20:59

20.嫌疑人容恨寒苹果手机“易信”的唯一标识符（UUID）？(答案格式:2000-01-01)

 00A6A0C7-AD52-4FC2-9064-6D7BE58DBCE6

去问建立找易信的源文件然后可以找到标识符

 21.嫌疑人容恨寒苹果手机微信ID是?(答案格式:2000-01-01)

wxid_peshwv0rosih12

计算机取证（这一部分是我做的当时）

魏文茵计算机

1.嫌疑人魏文茵计算机的操作系统版本?(答案格式:Windows 7 Ultimate 8603)

 Windows 10 Professional 14393 ，要组合起来，当时没有组合

2.嫌疑人魏文茵计算机默认的浏览器是?(答案格式:Internet Explorer)

通过仿真来看他设置的默认浏览器

 

 3.嫌疑人魏文茵计算机中以下那个文档不是嫌疑人最近打开过的文档?(答案格式:D)

A：掠夺攻略.docx B：工资表.xlsx C:刷单秘籍.docx  D:脚本.docx

A

4.嫌疑人魏文茵计算机中存在几个加密分区?(答案格式:3个)

1个

5.嫌疑人魏文茵计算机中安装了哪个第三方加密容器?(答案格式:VeraCrypt))

 TrueCrypt

6.接上题，嫌疑人魏文茵计算机中加密容器加密后的容器文件路径？(答案格式:C:\xxx\xxx)

 C:\Users\WH\Documents

通过盘古石我们发现了加密文件，然后我们去寻找他的存储路径

 

 7.嫌疑人魏文茵计算机中磁盘分区BitLocker加密恢复秘钥为?

000649-583407-395868-441210-589776-038698-479083-651618

恢复密钥在D盘的卷影未分配簇中，要进行搜索

用取证大师，这里打不开取证大师了，一会再整

8.嫌疑人魏文茵计算机中BitLocker加密分区中“攻略.docx”文档里涉及多少种诈骗方式?(答案格式:11)

38

9.投资理财团伙“华中组”目前诈骗收益大约多少?(答案格式:10万)

100W，没找到

魏文茵计算机内存

 10.通过对嫌疑人魏文茵计算机内存分析，print.exe的PID是

728

臧觅风计算机

11.根据臧觅风的计算机分析，请给出技术人员计算机“zang.E01”的SHA-1?(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)

239F39E353358584691790DDA5FF49BAA07CFDBB

12.根据臧觅风的计算机分析，请给出该技术人员计算机“zang.E01”的总扇区数？(答案格式:100,000,000)

536870912

13.根据臧觅风的计算机分析，以下那个文件不是技术人员通过浏览器下载的？(答案格式:A)

A.WeChatSetup.exe

B.aDrive.exe

C.Potato_Desktop2.37.zip

D.BaiduNetdisk_7.27.0.5.exe

D

14.根据臧觅风的计算机分析，请给出该技术人员邮件附件“好东西.zip”解压密码？(答案格式:abc123)

kangshifu0008

在手机聊天记录里面发现了这个人发给他的好东西，然后密码是他的邮箱，所以我们去他的计算机邮件里面找这个发件人的邮箱，然后去掉结尾的符号，因为题目给了格式

15.根据臧觅风的计算机分析，该技术人员电脑内曾通过远程管理工具连接过服务器“master.k8s.com”,请给出连接的端口号？(答案格式:22)

2282

进行仿真然后打开远程连接工具

16.根据臧觅风的计算机分析，接上题，请给出服务器的密码？(答案格式:password

P@ssw0rd

 17.根据臧觅风的计算机分析，据该技术人员交代，其电脑内有个保存各种密码的txt文件，请找出该文件，计算其MD5值？(答案格式:7B2DC1741AE00D7776F64064CDA321037563A769)

 C1934045C3348EA1BA618279AAC38C67

18.根据臧觅风的计算机分析，该技术人员曾使用过加密容器反取证技术，请给出该容器挂载的盘符？(答案格式:A)

F

仿真找到TC容器，然后可以发先有一个F盘，这个F盘就是挂载的

 19.根据臧觅风的计算机分析，请给出该技术人员电脑内keePass的Master Password？(答案格式:password12#)

通过取证大师，我们可以发现有一个加密文件是，资料.docx，推测他为加密容器

然后挂载

解密TC容器用的是EFDD工具

注意要用内存来解密

经过一些列操作我们把他挂载到电脑的F盘，然后打开后可以发现

打开新建文本文档

 

20.根据臧觅风的计算机分析，请给出该技术人员所使用的爬虫工具名称？(答案格式:xxx)

后羿采集器

21.根据臧觅风的计算机分析，接上题，该技术人员通过该采集器一共采集了多少条人员信息数据？

100+17+18970+96+29+13=19225

将每一个到处然后相加

22.根据臧觅风的计算机分析，以下那个不是该技术人员通过爬虫工具采集的数据？(答案格式:A)(★☆☆☆☆)

A.中国证券投资基金业协人员信息

B.仓山区市场监督管理局行政执法人员信息

C.清平镇卫生院基本公共卫生服务

D.仓山区市场监督管理局行政执法人员信息

C，没有C项

在容恨寒手机里面我们之前发现过这些文档

23.根据臧觅风的计算机分析，该嫌疑人曾浏览过“阿里云WebDAV”，请给出该“阿里云WebDAV”端口号？(答案格式:2211)

24.根据臧觅风的计算机分析，请给出该技术人员电脑内代理软件所使用的端口号？(答案格式:2211)

7890，根据前面做题发现过这个软件，然后去C盘program files（*86）里面找到该文件

25.根据臧觅风的计算机分析，接上题，请给出该代理软件内订阅链接的token？(答案格式:abc1234df334…)

d4029286acc8bfd97818d5f8724f0f0a

26.根据臧觅风的计算机分析，请给出该技术人员电脑内用于内部通联工具的地址和端口？(答案格式:www.baidu.com:1122)

该团伙内部使用的是Potato然后我们打开设置可以发现

im.pgscup.com:6661

27.根据臧觅风的计算机分析，请给出该电脑内存镜像创建的时间（北京时间）？(答案格式:2023-05-06 14:00:00)

2023-04-27 17:57:53 +0800

28.根据臧觅风的计算机分析，以下那个不是“chrone.exe”的动态链接库？(答案格式:A)(★★★★☆)

A.ntdll.dll

B.iertutil.dll

C.wow64cpu.dll

D.wow64win.dll

用axiom

29.根据臧觅风的计算机分析，请给出“\REGISTRY\MACHINE\SYSTEM”在内存镜像中的虚拟地址是多少？(答案格式:0xxxxx123…)

30.根据臧觅风的计算机分析，据嫌疑人交代，其电脑上曾存打开过一个名为“账号信息.docx”的文档，请给出该文档的最后访问时间（北京时间）？(答案格式:2023-05-06 14:00:00)

2023-04-27 17:55:32

31.根据臧觅风的计算机分析，接上题，请给出该文档的存储路径？(答案格式:C:\xxx\xxx)

D:\backup\mydata

 容恨寒苹果电脑

32.嫌疑人容恨寒苹果电脑的系统版本名称是？(答案格式:注意大小写)

macos 12.6

33.嫌疑人容恨寒苹果电脑操作系统安装日期是？(答案格式:2000-01-01)

34.嫌疑人容恨寒苹果电脑的内核版本是？(答案格式:xxxxx 11.0.4，注意大小写)

Darwin Kernel Version 21.6.0

使用uname-a

35.嫌疑人容恨寒苹果电脑有多少正在运行的后台程序？(答案格式:20)

10次，不确定，因为始终在变化

36.嫌疑人容恨寒苹果电脑最后一次关机时间（GMT）？(答案格式:2000-01-01 01:00:09)

2023-04-14 07:55:50

因为是GMT所以还要减8

37.嫌疑人容恨寒苹果电脑执行过多少次查询主机名称命令？(答案格式:20)

15

hostname是查询主机名的命令

38.从嫌疑人容恨寒苹果电脑中找出“陆文杰”提现金额是？(答案格式:20)

70.8

嫌疑人桌面上有个文件，打开发现是个压缩包应该，然后进行破解 

根据前面提到的规则没有破解出来，然后看了奇佬的WP发现尽然是hn结尾，然后就爆出来，筛选求和

 

39.从嫌疑人容恨寒苹果电脑中找出嫌疑人容恨寒上午上班时长是？(答案格式:8小时)

2.5小时

40.从嫌疑人容恨寒苹果电脑中找出“万便”的邮箱是？(答案格式:xxx@xxx.xx)

IxCnq3@yDp.net

41.通过分析得出嫌疑人容恨寒小孩的年龄是？(答案格式:10岁)

 没有正确答案，只发现了一个八年级奥数教材，推测13/14岁

恶意程序分析（这一部分不是很会，刚好借助这次机会学习一下二进制文件的取证分析）

1.根据魏文茵的计算机分析，恶意程序加了什么类型的壳(答案：asdcz)

UPX

打开最近的应用程序，然后进行排除，再结合前面问题问的print.exe我们可以想到这个print应该就是恶意程序，然后我们对这个程序进行分析

将他导出进行分析用情报沙箱来分析，发现就是他

 

2.根据魏文茵的计算机分析，恶意程序调用了几个dll(答案：1)

5个

3.根据魏文茵的计算机分析，恶意程序中send函数被多少个函数调用(答案：1)

先在imports那一列找到send，然后查看他的偏移，然后到ida view-a里面找send函数

右键点击X

然后看到 这个图

address那一列就是引用函数的那一列，sub是自定义函数，main是主函数，然后我们只需要数sub/main与+号之间那部分取唯一值就好了，这道题一个主函数，五个自定义函数

 也可以直接在view里面用这个

 清晰可见

4.根据魏文茵的计算机分析，恶意程序远控端ip(答案：120.1.2.3)

192.168.8.110

找到主函数，然后F5查看main0（不是很理解为什么，还要继续学习深入）

5.根据魏文茵的计算机分析，恶意程序远控端端口(答案：123)

6069

6.根据魏文茵的计算机分析，恶意程序用到是tcp还是udp

答案是TCP，用沙箱来做感觉是UDP

做法是把主函数的代码用chatgpt分析一下发现是用来TCP连接的

7.根据魏文茵的计算机分析，恶意程序能执行几条命令(答案：123)

5条

分析主函数

8.根据魏文茵的计算机分析，恶意程序加密电脑文件对应是哪个命令(答案：1a)

6s

9.(多选题)根据魏文茵的计算机分析，恶意程序加密哪些后缀文件(★★★☆☆)

A.docx

B.xlsx

C.pdf

D.doc

ABCD

10.根据魏文茵的计算机分析，编写该程序电脑的用户名是(答案：12345)

11.嫌疑人魏文茵计算机中“工资表.xlsx”中，发放工资总金额为：(答案格式:12345))

44300

暗网取证

1.臧觅风电脑使用暗网浏览器版本是？(答案格式：10.0.0)

12.0.4

上接计算机19题

我们挂载到F盘以后，看到了那个keepass软件，用拿到的密码来解密后可以发现

打开TC加密

拿到了资料挂载的密码为Zang!@#123

然后我们去挂载资料

发现了里面有一个Tor Browser的文件夹，推测他为暗网浏览器

2.臧觅风电脑使用的暗网浏览器历史记录中最多浏览内容是？(答案格式：制作)

比特币市场

可以发现他浏览最多的是比特币市场

3.臧觅风电脑使用的暗网网浏览器书签“社工库”添加的时间是？(答案格式：2000-01-01 01:00:09)

2022-05-27 21:49:33

无法在虚拟机里面直接查看

做法有两种，一：手搓取本地文件里面找，二：将资料挂载到本地，然后用火眼跑

不知道为什么我的VC挂载不上，所以只能学习奇佬的手搓了

文件路径/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default下的places.sqlite，然后挂到navicat上面分析表

找到社工表的添加事件，然后转换时间，时间戳只用前几位就行，按照提示

 

4.臧觅风电脑使用的暗网浏览器第一次使用时间是？(答案格式：2000-01-01 01:00:09)

2023-04-12 10:19:06

找访问时间表

 

5.臧觅风电脑使用的暗网浏览器扩展应用中“ftp.js”文件的md5值是？(答案格式：字母小写)

EA86403D1DE3089B3D32FE5706D552F6改成小写

路径：/Tor Browser/Tor Browser/Browser/TorBrowser/Data/Browser/profile.default/extensions

是个压缩包，导出后解压，在content里面找到ftp.js，然后求md5

物联取证

1.请给出该软路由管理的IP地址？(答案格式:192.168.1.1)

192.168.8.20

仿真一下子就看到了

2.请给出该软路由管理员的密码？(答案格式:admin123!@#)

P@ssw0rd

前面有道题问过，网站进不去后面的题目暂时做不了了

3.请给出阿里云WebDAV的token？(答案格式:bac123sasdew3212…)

4.请给出该软路由所用机场订阅的token？(答案格式:bac123sasdew3212…)

5.请给出该软路由数据卷的UUID？(答案格式:8adn28hd-00c0c0c0…)

6.请给出该软路由的共享路径？(答案格式:/home/data)

/mnt/data

查看samba文件，他是共享文件

/etc/samba/smb.conf