2020第六届美亚杯中国电子数据取证大赛资格赛writeup
本文最后更新于316天前,其中的信息可能已经有所发展或是发生改变。

个人赛解题-笔记本

img
img


第1题

取证 大师计算哈希可得sha1,但是e01格式的镜像文件内已经存储了打包镜像时计算的哈希值,我们完全不需要二次计算,只需使用FTK加载镜像,即可看到已经算好的哈希值,秒解


第2到11题

取证 大师即可

ps.

CST指的就是中国标准时间,UTC+8:00

image-20201130200943339


第12题

仿真一下,即可看到

ps.

这个不支持虚拟化的bug可以用关闭这里的选项解决,去掉这个钩


第13题

看取证大师的搜索记录


第14、15题

信用卡小知识:

信用卡安全码(英文:Card Security Code)是信用卡在进行网络交易和电话交易时的一个安全特征。它通常是印刷在信用卡上面的3或4位数字,用于证实付款人在交易时是拥有信用卡的,从而防止信用卡欺诈。

信用卡的有效期(exp)

填写的格式一般是 月/年 比如说0912 就是有效期到2012年9月

第16到18题

image-20201130202217228

小知识

压缩文件的英文是zip

仿真电脑,在下载目录可以发现同名的

image-20201130202958313


第19题

这一题我是用排除法做的,从u盘里的 System Volume Information创建时间可以看出是2020-09-29-1801

看着就很像


第20到22题

虽然有加密,但是还是能看里面有啥文件

里面的两张图片其实在download目录下有,跟压缩包里的相同,可以算一下crc

算在外面的图片的哈希即可


第23到31题

取证大师即可

版本可以仿真看

取证大师即可

不知道第25和29题,第27和30题之间为啥有重复部分。。

这个第31题,我弄了好久都不知道AP是啥意思

有哪位大佬知道。。。

第32题

找R3ZZ.txt


第33、34题

看那俩购买发票,就是那俩图

第34题我是推断的,就是用信用卡买东西需要提供什么信息

个人赛解题-手机

第35到37题

第35题可以从给的案件调查报告里找到

至于是G3还是G4,emmm,他给的有手机照片,应该能直接看出来,但是我不知道。。。

第36、37题


第38到42题

均能用盘古石的手机取证顺利取出

第38

第39

第40

导出后再看就好了

第41、42

稍微有点不一样


第43到51题

第43、44

第45题是推断题

从整体的聊天记录可以看出,cole是提出意见,推动实施的人,bob我倒是没看出来,但是因为只有b选项有cole,所以当时选了b

第46题

第47、48题

第49题


第50题

第51题

转时间戳

查数据库


第52题

第53题

给的电脑照片上贴了俩纸条,挨个试一试就好了,那个QPzm的是对的

第54到57题

挨个apk装一遍即可

那俩纸条的另一个就是这个秘密讯息解密的密码

这个apk是解密图片用的,U盘里正好有一个bob photo

第58到61题

点击数:256

评论

  1. 煤矿路口西
    Windows Chrome 89.0.4389.90
    6月前
    2021-4-08 15:09:13

    师傅好,请问有这次比赛的附件吗

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇