(最近还在忙备考,水一篇先)
(注意本文仅为个人思路,存在思路答案错误敬请谅解 
)
手机部分
1.分析手机镜像,请问机身的Wi-Fi 信号源的物理地址是什么?[标准格式:01:02:03:04:05:06]
火眼架加载,在文件中搜wifi能找到配置文件,在配置中查看机身的发信源应该是BSSID,
答案:00:db:60:6e:86:13
2.分析手机镜像,请问张大的手机号码尾号是3807的手机号码是多少?[标准格式:15599005009]
首先在kimi里可以看到登录手机号是156**3807,用火眼爆搜3807可以找到一个符合的疑似手机号(虽然提供了iccid,但不知道如何反查)
答案:15680193807
3.分析手机镜像,分析手机镜像,其通讯录中号码归属地最多的直辖市是哪里?[标准格式:天津市]
在通讯录里排序一下,可以发现北京属地最多
答案:北京市
4.分析手机镜像,嫌疑人最近卸载过的的一款小说APP的名字是什么?[标准格式:com.tencent.mm]
apk包就三个小说软件,书旗逐浪和阅友,在文件里搜一下对应的包名,逐浪没有数据文件夹,应该是删除了
答案:com.zhulang.reader
5.分析手机镜像,嫌疑人使用“逐浪小说”应用最近一次搜索小说书名叫什么?[标准格式:斗破苍穹]
6.分析手机镜像,嫌疑人曾使用“QQ浏览器”使用过的搜索关键词有几个?[标准格式:1个]
全局爆搜QQ浏览器,可以找到搜索流量包,一个记录对应一个搜索,有7条记录(这个答案不对,搜的不全,看个乐子得了,笔者懒得改了)
答案:7个
7.分析手机镜像,嫌疑人曾经安装过的一款AI软件登录的用户名是什么?[标准格式:用户123456]
kimi直接看就行
答案:用户3807
8.接上问,嫌疑人在此AI软件中最后一次提问的内容是什么?[按照实际值填写]
查看记录即可
答案:继续生成一个
9.分析手机镜像,嫌疑人花费多少元购买小说网站源码?[标准格式:2000]
在图片从大到小排序翻记录可以找到一个张大转给他人的记录,文件名为购买记录
答案:1300
10.接上问,嫌疑人购买的小说网站源码的MD5值后六位是什么?[标准格式:12a34b]
更新版火眼可以直接分析这个电鸽,可以看到交流发过去的源码压缩包,算一下hash即可,没更新的话再文件里翻压缩包也可以看到网站源码的压缩包
答案:d9ed2d
11.分析手机镜像,嫌疑人的虚拟钱包地址是什么?[按照实际值填写]
在电鸽中可以看到源码提供者的虚拟钱包地址(火眼要先更新插件,美亚可以直出),搜一下地址对一下转账时间就知道嫌疑人是哪一个了
答案:0x2a80985eea4283fdebddc5ec25c15d8cb5bcc09f
12.分析手机镜像,嫌疑人购买视频网站源码花费了多少USDT?[标准格式:500]
同上,可以看到花了1000U
答案:1000
13.分析手机镜像,其接受过一个远控木马程序(exe),请问其MD5值后六位是多少?[标准格式:12a34b]
也是在聊天记录里说要远程帮嫌疑人部署,发了一个yuankong.zip,解压一下计算里面的exeMD5就行
答案:e4a090
14.接上题,该exe使用了哪种压缩方式?[标准格式:TAR]
显而易见zip
答案:zip
15.接上题,该exe使用的压缩方式修改了几处特征?[标准格式:5]
先用DiE查一下壳,有upx壳和vmp混淆,用010打开查看upx壳被修改了开头的三处
答案:3
16.接上题,该exe外联的端口号是多少?[标准格式:3306]
云沙箱可以跑出来端口为4444
答案:4444
17.接上题,该exe会搜索并加密几种类型的文件?[标准格式:5]
修复upx特征后用脱壳工具去掉后用ida打开,追踪EncryptedDocs反编译后可以看到加密逻辑
答案:3
18.接上题,该exe会释放一个新的exe,请问新的exe是用哪种编程语言编写的?[标准格式:php]
可以看到释放的mail.exe,用pyinstxtractor-ng解包远控exe,可以直接把mail.exe解包出来了,pylingual反编译test.pyc就能看到,那就是python写的
答案:python
19.接上题,释放出的exe使用的邮件服务器的授权码是?[标准格式:scxcsaafas]
看到注释里password对应的是授权码,下面主函数传入参数是使用的sender_auth_code
答案:qycirqwzxogjdgbh
20.分析手机镜像,嫌疑人发布的抖音作品是参考哪篇文学巨著生成的?[标准格式:三国演义]
在视频记录里有发的作品,焊光对应了kimi里生成的文章,可以看到是参考钢铁是怎样炼成的
答案:钢铁是怎样炼成的
21.分析手机镜像,嫌疑人通过抖音发布了几个作品?[标准格式:6]
在抖音分析记录里有作品数
答案:5
22.接上题,作品ID为7564293625007115554的观众浏览量为几次?[标准格式:5]
参看ZhangZ大佬的wp,纠正我的错误找法,本题需要找到的是观众的浏览量,而抖音解析中获取的是自己看的播放记录,全局爆搜可以找到一个记录文件,搜索play_count字段只有四个(那有可能上题也有问题,先留一下),其中可以看到23次对应的是该记录
答案:23
23.分析手机镜像,嫌疑人电脑的开机密码是多少?[按照实际值填写]
火眼直接跑出来密码
答案:qwe321@@@
计算机部分
24.分析Windows检材,PowerShell中多少个命令关联URL地址(不去重)?[标准格式:123]
在历史命令中筛选http,可以看到记录有5条
答案:5
25.分析Windows检材,VeraCrypt加密容器密码是什么?[标准格式:v10.1.1]
首先找加密容器,最近访问的文件中没有疑似的文件,在图片中从大到小排序,可以看到一个1.png的文件没法查看,跳转到源目录下有几张图,这个图明显16进制数据不符合正常的png,而且是整数容量(1024MB),怀疑为vc容器,下面寻找密码。
仿真后用win+v调出剪贴板历史记录,发现有容器密码
答案:UJw4FspAsmNVRACWf4GQazvd
26.分析加密容器中的“密码本.txt”的sha-256后六位是多少[标准格式:全大写]
用上述密码挂载后,看不到密码本的踪影,在Aura大佬的提示下用diskgenius恢复删除文件,可见被删除的密码本,计算sha256即可
答案:790DF7
27.分析Windows检材,接上题,分析其账单数据中哪个类别的金额最多?[标准格式:根据实际值填写]
将密码本做字典爆破账单的压缩包,用网矩分析数据可知
答案:小说网站
28.分析Windows检材,Bitlocker的恢复密钥前6位是什么?[标准格式:123456]
在上面图片同目录下,三国演义的图是拼接起来的,前半截为webp,后面才是正常的png图,010提出来后恢复宽高就能看到恢复密钥
答案:541079
29.分析Windows检材,嫌疑人使用的Windows激活工具的版本是什么?[标准格式:v10.1.1]
在密码.txt中找到bl密码,解密d盘后可以看到激活工具的文件夹,里面有图标着版本
答案:v4.2.8
30.分析Windows检材,嫌疑人电脑中安装的加密软件(非VeraCrypt)版本是多少?[标准格式:1.2.3]
在e盘的工作目录里有记录,疑似加密软件,全局搜索可以找到对应的版本
答案:1.17.1
31.分析Windows检材,接上题,该加密软件恢复秘钥文件最后一个单词是什么?[标准格式:根据实际值填写]
在解密的d盘里有个恢复密钥,注意最后几位用了白色字体隐藏
答案:accent
38.分析Windows检材,嫌疑人使用的默认浏览器名称是什么?[标准格式:Microsoft Edge]
仿真可以看到底栏常驻浏览器是Ablaze Floorp
答案:Ablaze Floorp
39.分析Windows检材,嫌疑人使用的AI网站的端口是多少?[标准格式:123]
桌面上的ai.png可以看到端口为18480
答案:18480
40.分析Windows检材,嫌疑人使用的AI网站登录密码是多少?[标准格式:根据实际值填写]
通过浏览器自带的密码管理器查看
答案:g123123
41.分析Windows检材,嫌疑人利用在线AI模仿创作的小说,其第五章标题是什么?[标准格式:根据实际值填写]
在wps中可以找到导出的pdf,查看可得第五章标题
答案:长安的回响
42.分析Windows检材,终点小说初步要求嫌疑人赔偿的经济损失金额为多少万元人民币?[标准格式:123]
在火眼中查看eml邮件,可以看到发的律师函要求赔偿金额
答案:10
43.分析Windows检材,根据律师函要求,嫌疑人最晚须于几月几日(含当日)前向终点小说提交经审核同意的书面致歉函?[标准格式:10月12日]
同上
答案:10月29日
44.分析Windows检材,嫌疑人NAS映射的盘符是什么?[标准格式:C]
仿真出来的文件管理器可以看到nas的映射盘为Z
答案:Z
45.分析Windows检材,嫌疑人当时正在阅读的小说叫什么名字?[标准格式:三国演义]
猜测是最近时间访问的这个小说
答案:小年小月
46.分析Windows检材,接上题,嫌疑人当前看到该小说的第几章?[标准格式:第一章]
不清楚了,猜的第五章,应该需要先把NAS挂载起来用桌面上的阅读器打开,先放一下。
答案:不清楚先放放。
