2024盘古石杯

Mon, 14 Apr 2025 15:36:00 +0000

veracrypt挂载密码2b26ba7ed35d622d8ec19ad0322abc52160ddbfa

使用工具

综合分析

取证大师
美亚手机大师

镜像仿真

平航仿真软件

文本分析

010editor
vscode

apk分析

jadx
云沙箱网站

数据库工具

DB Browser for SQLite
DB Browser for SQLite cipher
navicat16
forensicstool

内存取证工具

Volatility3

杂项

cyberchef 进行解密

APK取证

分析伏季雅的手机检材，手机中诈骗APP的包名是

答案格式：abc.abc.abc，区分大小写

2024-04-25-09-53-24

分析义言的手机检材，分析团队内部使用的即时通讯软件，该软件连接服务器的地址是

mattermost是内部通讯软件

`app_webview/` 文件夹

路径：./app_webview/
内容：WebView 缓存，可能包含 HTTP 请求记录。
操作：
检查 Cookies、Local Storage 或 IndexedDB 中的网络请求痕迹。

DB-browser打开，

192.168.137.97

接上题，该软件存储聊天信息的数据库文件名称是

答案格式：abc.abc，区分大小写
刚开始直接进databases找没有，

这里有聊天记录，就是这个
aHR0cDovLzE5Mi4xNjguMTM3Ljk3OjgwNjU=.db

顺带一提这个base64解密后就是IP

接上题，该即时通讯软件中，团队内部沟通群中，一共有多少个用户

6

接上题，该即时通讯应用的版本号是

直接看控制面板是5.7.0不对
app.db

2.15.0

接上题，该即时通讯应用中，团队内部沟通中曾发送了一个视频文件，该视频文件发送者的用户名是

files表找post_id post表找user_id user表找名称

yiyan

接上题，分析该即时通讯的聊天记录，团队购买了一个高性能显卡，该显卡的显存大小是

复现的时候网站换源了
24G

分析义言的手机检材，手机中装有一个具备隐藏功能的APP，该APP启动设置了密码，设置的密码长度是多少位

这个很难

复现的时候才知道要看可疑软件

这够可疑了吧

有点太难找了
解密方法在这个

加密密钥都是相同的Rny48Ni8aPjYCnUI

根据文章提示，我们可以找到/F:/data/data/com.hld.anzenbokusufake/shared_prefs/share_privacy_safe.xml并进行解密

可以看出9位密码

接上题，分析上述隐藏功能的APP，一共隐藏了多少个应用

用带cipher的sqlitebrowser打开，还要注意sqicipher3才能打开(这东西比赛谁做得出来)

5

接上题，分析上述隐藏功能的APP，该APP一共加密了多少个文件

5 注意这里解出BitLocker恢复密钥会在下面计算机取证非常顺畅

接上题，分析上述隐藏功能的APP，该APP加密了一份含有公民隐私信息的文件，该文件的原始名称是

公民信息.xlsx

分析义言的手机检材，马伟的手机号码是

退回去看加密文件，我们如法炮制用同样的密钥进行解密

18921286666

分析义言的手机检材，手机中存有一个BitLocker恢复密钥文件，文件已被加密，原始文件的MD5值是

497f308f66173dcd946e9b6a732cd194

计算机取证

分析伏季雅的计算机检材，计算机最后一次错误登录时间

答案格式：2024−01−01−04−05−06

分析伏季雅的计算机检材，计算机中曾经浏览过的电影名字是

答案格式：《奥本海默》

《坠落的审判》

分析伏季雅的计算机检材，计算机中团队内部即时通讯软件的最后一次打开的时间是

答案格式：2024−01−01−04−05−06

翻找近期使用软件后发现这个即时通讯软件
2024-04-26-17-13-02

分析伏季雅的计算机检材，计算机中有一款具备虚拟视频功能的软件，该软件合计播放了多少个视频

仿真（用的平航，不知道为什么我自己的跑不起来）

虚拟视频功能软件是mvbox

就一个视频
1

接上题，该软件的官网地址是

https://www.mvbox.cn

接上题，该软件录制数据时，设置的帧率是

15

分析伏季雅的计算机检材，在团队内部使用的即时通讯软件中，其一共接收了多少条虚拟语音

4

分析毛雪柳的计算机检材，计算机插入三星固态盘的时间是

这题时间在不同软件中是存在差别的，题目有小问题

2024-04-25-19-08-08

分析毛雪柳的计算机检材，计算机操作系统当前的Build版本是

取证大师一把梭 19045

分析毛雪柳的计算机检材，团队内部使用的即时通讯软件在计算机上存储日志的文件名是

分析毛雪柳的计算机检材，伏季雅一月份实发工资的金额是

仿真，回收站里有密码，但是是错误的😂

手机里有密码，好
maoxl2024!%*!

11200

分析毛雪柳的计算机检材，该团伙三月份的盈余多少

158268

分析义言的计算机检材，计算机连接过的三星移动硬盘T7的序列号是

SN(Serial Number)

S6TWNS0RB02721X

分析义言的计算机检材，计算机的最后一次正常关机时间是

2024-04-28-18-51-56

分析义言的计算机检材，曾经使用工具连接过数据库，该数据库的密码是

forensicstool梭一下
root

分析义言的计算机检材，计算机中安装的xshell软件的版本号是

跑一下仿真，在控制面版看

Build-0157 DID的答案是错的，不管

分析义言的计算机检材，曾使用shell工具连接过服务器，该服务器root用户的密码

仿真出来是这个软件，D盘下有配置文件但是Bitlocker
如果APK那里解密出了我们就可以进行解密了
337469-693121-682748-288772-440682-300223-203698-553124

conn文件夹下有喽解密

root

分析义言的计算机检材，计算机曾接收到一封钓鱼邮件，该邮件发件人是

就那个838299176@qq.com

接上题，钓鱼邮件中附件的大小是多少MB

2.4

接上题，上述附件解压运行后，文件的释放位置是

云沙箱解析

C:\Windows\Temp

接上题，恶意木马文件的MD5值是

f539aab0af03836e73ec1727db8a6d50

接上题，恶意木马文件的回连IP地址是

192.168.137.77:80

分析义言的计算机检材，计算机中保存的有隐写痕迹的文件名

会用来生成bmp文件进行隐写吗，搜索一下

找名字奇怪的图片，而且非常，模糊，提取一下

所以就是这个文件
a78bd8b5bec5f60380782bd674c7443p.bmp

分析义言的计算机检材，保存容器密码的文件大小是多少字节

分析出来有这些加密文件，测试一下解密, 这个大小刚好2个G，非常可疑，发现用LSB隐写解出来的密码刚好能用，所以就是保存容器密码的文件

20

分析义言的计算机内存检材，该内存镜像制作时间(UTC+8)是

跑内存分析啊，用volatility3跑
python vol.py -f "A:\嫌疑人\义言\计算机\memdump.mem" windows.info

system time，要UTC+8
2024-04-25-22-18

分析义言的计算机内存检材，navicat.exe的进程ID是

python vol.py -f "A:\嫌疑人\义言\计算机\memdump.mem" windows.pslist

跑出来9336

人工智能部分

大胆！如果D盘bitlocker没解出来那么多题都别做了！人工智能的东西都在D盘里呢

分析义言的计算机检材，一共训练了多少个声音模型

这个得看log才行,sovits-weight只是保存模型的，可能有的不是训练的 4

分析义言的计算机检材，声音模型voice2，一共训练了多少条声音素材

17

分析义言的计算机检材，声音模型voice3，一共训练了多少轮

熟悉的话看模型中e的轮数就可以了

8

分析义言的计算机检材，声音克隆工具推理生成语音界面的监听端口是

根据之前使用过的记忆来说，我们只需要跑起来webUI推理即可

9872

下一道题有些难，水平不够我写不出脚本(

后面换脸AI部分就是简单的翻找就行，这里直接过了

IM服务器部分

这里可以参考一下[西电wp]((https://forensics.xidian.edu.cn/wiki/PGS2024Preliminary/#_14 )
我们直接起一个NAT或桥接网络的虚拟机，开启了DHCP，用shell工具连接即可，

分析内部IM服务器检材，在搭建的内部即时通讯平台中，客户端与服务器的通讯端口是

docker ps 8065

分析内部IM服务器检材，该内部IM平台使用的数据库版本是

服务器中跑着一个docker容器，交互模式进入到容器中

有一个docker-entry.sh

其中将PostfgreSQL和MatterMost的配置文件信息传递
已知PostgreSQL官方Docker镜像通过环境变量传递配置，我们查看env

也可以psql --version

12.18

分析内部IM服务器检材，该内部IM平台中数据库的名称是

上题就出来了
mattermost_test

分析内部IM服务器检材，该内部IM平台中当前数据库一共有多少张表

docker inspect看进程具体信息

找到IPAddress后
先通过navicat写好ssh的配置文件再写postgreSQL的配置文件连接上数据库

82

分析内部IM服务器检材，员工注册的邀请链接中，邀请码是

USERS表中我们找到管理员账户

这是bcrypt加密方式，我们用相同方式加密一个123456密码，然后填进去登录

54d916mu6p858bbyz8f88rmbmc

分析内部IM服务器检材，用户yiyan一共给fujiya发送了几个视频文件

登录一下yiyan的账号

2个视频4个音频
2

分析内部IM服务器检材，用户yiyan在团队群组中发送的视频文件的MD5值是

这个，用7z跑

f8adb03a25be0be1ce39955afc3937f7

分析内部IM服务器检材，一个团队中允许的最大用户数是

成员和团队中
50

分析内部IM服务器检材，黑客是什么时候开始攻击

控制台可看服务器日志，密码爆破

2024-04-25-07-33

Web服务器部分

仿真后进入

分析网站服务器检材，网站搭建使用的服务器管理软件当前版本是否支持32位系统

root下有用于备份数据库的backup.sh和存放备份文件的backup目录

由于存在install.sh，查看发现是宝塔面板安装脚本，重新设置密码后登录查看信息

6.0以上不再支持32位版本
否

分析网站服务器检材，数据库备份的频率是一周多少次

计划任务中

所以我们可以直接crontab 查看用户的定时任务

让AI帮我分析一下🤗

每周日的0点备份一次
1

老登那搞来的图

分析网站服务器检材，数据库备份生成的文件的密码是

根据backup.sh中反向生成

1
2


[root@wns ~]# echo -n "2828" |openssl enc -aes-256-cbc -a -salt -pass pass:mysecretpassword -nosalt
IvPGP/8vfTLtzQfJTmQhYg==

IvPGP/8vfTLtzQfJTmQhYg==

复现ing

2024盘古石杯 on Nan0inPsyLog