背景
某地警方接到受害人 案称其在某虚拟币交易 站遭遇诈骗,该 站 称使用“USTD币”购买所谓的“HT币”,受害人充值后不但“HT币”无法提现、交易,而且手机还被恶意软件锁定勒索。警方根据受害人提供的虚拟币交易 站调取了对应的服务器镜像并对案件展开侦查。
检材1
1. 检材1的SHA256值为
火眼打开之后计算出希哈值:
2. 分析检材1,搭建该服务器的技术员IP地址是多少该地址解压检材2
这个该怎么找,具体有两种办法,但是都是从登录日志来看,首先是把检材1仿真出来然后查看最近的登录日志
![[图片]](https://img-blog.csdnimg.cn/68010c740b3345c58e6586719ca23ca6.png
4. 检材1系统中, 卡绑定的静态IP地址为
6. 检材1中,监听7000端口的进程对应文件名为
解这道题可以把app里面的jar包都跑起来看看,看看哪个jar包运行之后监听了7000端口
答案是
再一个,从取证工具里面也能看到管理员后台的端口是
13. 检材2中,powershell中输入的最后一条命令是
打开windows powershell 然后按一下上键,,,,,
15. 检材2中, 站管理后台root账 的密码为
可以在火眼里面解析出来
还可以从
18. 上述数据库debian-sys-maint用户的初始密码是
这个初始密码是什么是会保存在一个配置文件里的在rootfs/etc/mysql里面,可以找到一个diban.cnf,把这个文件导出来就能找到初始密码:
19. 检材3服务器root账 的密码是
嫌疑人曾经通过远程连接过服务器root账
答案是
21. 除MySQL外,该 站还依赖以下哪种数据库
21.22.24题都可以通过对检材1的逆向得出答案
第二种方法是查看镜像的元数据
得知此文件在目录里面,进入查看得知
SQL数据库名为
25. 勒索者在数据库中修改了多少个用户的手机 答案填写阿拉伯数字,如“15”)
这个时候找到检材2的D盘,在D盘中可以找到数据库b1,还能看到start.sh 和 start_web.sh两个启动脚本,此时把这两个文件发给负责建服务器的队友。
在检材3的后端文件的删改记录里面可以看到一个开头为8eda的log文件,这里面就是数据库的数据修改记录,搜索关键词delet和update,找出修改了手机 的用户和删除的用户。搜索update之后就能找到修改手机 的记录,update b1 member set phone_number··,计数之后出现了五次匹配的结果,一个一个的查看了一下,有两次是更新的登陆时间,所以修改手机 的次数应该是3次!
26. 勒索者在数据库中删除的用户数量为(答案填写阿拉伯数字,如“15”)
在log文件中可以搜索到有批量删除的记录,,记数一下有28个
另外,利用数据库分析工具
在检材2中,分析出了数据库b1,但是有两个,选中其中一个然后点数据库分析可以使用工具对数据库进行分析。
用工具打开数据库文件之后,发现了三个表与题目关联度比较大,一个是交易记录,第二一个是用户钱包,第三一个是用户表。比对分析发现用户表的数据量比用户钱包少了28个,初步怀疑是被删除了。
在数据库分析工具打开的表格中能找到一个登录日志,除了技术员的ip(通过检材1已知)还有登录了管理后台的 址。
28. 还原全部被删改数据,用户id为500的注册会员的HT币钱包地址为
用工具打开之后直接找到用户钱包的数据,然后找到了的钱包地址
通过member_grade这个表了解到等级是三的用户的grade_code=3
31. 还原全部被删改数据,2022年10月17日总计产生多少笔交易记录答案填写阿拉伯数字,如“15”)
在交易表格member_transection里面有五千多条交易记录,筛选出10月17日的交易记录一共1000条
否则导出后再筛选会多了(选所有数据),要注意这几个选项的区别,幸好当时是选了仅正常数据,所以得出了是,万幸哈哈哈
32. 还原全部被删改数据,该 站中充值的USDT总额为(答案填写阿拉伯数字,如“15”)
直接计算一个总和就可以啦
原来真错了,是
检材4
33. 嫌疑人使用的安卓模拟器软件名称是
解压出来是一个后缀是npbk的文件,百度一下是要用夜神模拟器打开,所以嫌疑人使用的是夜神模拟器。
34. 检材4中,“老板”的阿里云账 是
把npbk文件解压之后出来一个vmdk文件,可以直接用火眼取证工具进行分析,从老板的微信聊天记录里面可以看到老板的阿里云账 是
36. 上述VPN工具中记录的节点IP是
知道了下载时间从而推理一下安装时间,一定是比下载时间晚,晚几十秒的答案很可能是正确的
38. 上述录屏软件中名为“s_20221019105129”的录像,在模拟器存储中对应的原始文件名为
在夜神模拟器种直接恢复手机,然后打开录屏软件,点注销账 能直接看到手机
exe分析
41. 分析加密程序,编译该加密程序使用的语言是
用ida反编译加密程序(在检材2的D盘中找到),查看字符串发现了很多py后缀,确定使用的语言就是
45. 被加密文档中,FLAG1的值是(FLAG为8位字符串,如“FLAG9:QWERT123”)
同样的方法逆向解密程序后,发现密码没有被加密,所以直接运行输入密码就可以解密文件了
FLAG1的值:
apk分析
46. 恶意APK程序的包名为
首先下载这个软件(在前面的 址下载)用雷电APP智能分析查看包名
48. 解锁第一关所使用的FLAG2值为(FLAG为8位字符串,如需在apk中输入FLAG,请输入完整内容,如输入”FLAG9:QWERT123″)
使用雷电APP智能分析脱壳,然后进行jadx反编译
可以找到flag2
然后有一堆代码,好多个O,然后最终确定是要比对的值,看一下那个地方对这个值进行了定义
第一层
编写一个程序来输出FLAG3
50. 解锁第三关所需的KEY值由ASCII可显示字符组成,请请分析获取该KEY值
无法对intevalue和inter转换,所以到这直接跳到下面的catch,
最终爆破出key=
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!