683843350f71901ff7b1dd4d2e708bc3

冯宝宝那里卡了好久真绷不住了………

手机备份包

手机基本信息

IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)

log.txt

1
Thread Id [ 25464 ] Time[ 14:19:44 ] val[ 0000 ]   bk start
1
2024-01-15.14:19:44

请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)

image-20240128213319887

遛一下火眼

image-20240128213400941

1
3

手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字)

image-20240128213613296

1
2
89860320245121150689

手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)

image-20240128213629195

1
2
20240115

地图数据

请问嫌疑人家庭住址在哪个小区。(标准格式:松泽家园)

image-20240128213700858

1
天铂华庭

浏览器

Safari浏览器书签的对应数据库名称是什么。(标准格式:sqltie.db)

image-20240128213915514

image-20240128213919208

1
2
Bookmarks.db

手机机主计划去哪里旅游。(标准格式:苏州)

火眼没有解析出safari的历史记录,只能手搓这道题

image-20240128214145942

介绍一下IOS几个重要的文件

文件名 作用
Manifest.db 保存所有的文件夹名称
Info.plist 保存了设备的基础信息
Manifest.plist 保存了设备上安装的应用信息
Status.plist 保存了备份的状态 
1
SELECT * FROM "main"."Files" WHERE "main"."Files"."fileID" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."domain" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."relativePath" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."flags" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."file" LIKE '%safari%' ESCAPE '\'

image-20240128215334855

1
2024年01月15日_14时19分44秒_iPhone.tar/AppDomain-com.apple.mobilesafari/Library/Preferences/com.apple.mobilesafari.plist
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
    <dict>
        <key>AppBundleIDsWithSeperateData</key>
        <array>
            <string>com.wemomo.momoappdemo1</string>
        </array>
        <key>BookmarksPanelSavedState</key>
        <dict>
            <key>BookmarksCollection</key>
            <dict>
                <key>CurrentFolderUUID</key>
                <string>Root</string>
            </dict>
            <key>CurrentCollection</key>
            <string>ReadingListCollection</string>
            <key>ReadingListCollection</key>
            <dict>
            </dict>
        </dict>
        <key>BrowserControllersSavedState</key>
        <dict>
            <key>8661FBC8-D882-474D-B299-BC83DC1B9CD4</key>
            <dict>
                <key>ActiveDocumentIsValid</key>
                <true/>
                <key>NormalBlankSnapshotGroupIdentifier</key>
                <string>DE8F5C08-4FDB-43EF-B859-5C4151781BDB</string>
                <key>PrivateBlankSnapshotGroupIdentifier</key>
                <string>B38E5D2D-21F6-4103-AA73-4602BB593995</string>
                <key>ShowingTabView</key>
                <false/>
            </dict>
        </dict>
        <key>CloudTabStoreDateOfLastSaveWhenEnteringBackgroundWithNoOtherDevices</key>
        <date>2024-01-15T02:39:13Z</date>
        <key>CloudTabsEnabled</key>
        <true/>
        <key>DidImportBuiltinBookmarks</key>
        <true/>
        <key>DidMigrateYouTubeBookmarks</key>
        <true/>
        <key>LastBookmarksDatabaseHealthReportDate</key>
        <date>2024-01-11T05:46:41Z</date>
        <key>LastCloudHistoryConfigurationUpdateTime</key>
        <real>7.26644641959269e+08</real>
        <key>RecentWebSearches</key>
        <array>
            <dict>
                <key>Date</key>
                <date>2024-01-15T06:13:48Z</date>
                <key>SearchString</key>
                <string>拉萨有高原反应吗</string>
            </dict>
            <dict>
                <key>Date</key>
                <date>2024-01-11T05:45:05Z</date>
                <key>SearchString</key>
                <string>去西藏旅游的最佳时间</string>
            </dict>
        </array>
        <key>WBSParsecABGroupIdentifier</key>
        <integer>9</integer>
        <key>WBSParsecABGroupIdentifierGenerationDate</key>
        <date>2024-01-15T02:39:10Z</date>
        <key>WBSRemoteAutoFillQuirksLastUpdateTime</key>
        <date>2024-01-15T02:39:11Z</date>
        <key>WebDatabaseDirectory</key>
        <string>/var/mobile/Containers/Data/Application/E923635B-29D0-40D5-956F-E5B9AD2DB892/Library/WebKit/WebsiteData/WebSQL</string>
        <key>WebKitLocalStorageDatabasePathPreferenceKey</key>
        <string>/var/mobile/Containers/Data/Application/E923635B-29D0-40D5-956F-E5B9AD2DB892/Library/WebKit/WebsiteData/LocalStorage</string>
        <key>WebKitLocalStorageEnabledPreferenceKey</key>
        <true/>
        <key>cloudBookmarksMigrationEligibilityDataInvalidated</key>
        <true/>
        <key>cloudTabsDeviceUUIDForRestoration</key>
        <string>9F3778AF-D7B3-4E1D-B4C3-D1AEE756F4C3</string>
        <key>didMigrateHistoryToCoreSpotlightAfterUpgrade</key>
        <true/>
        <key>migrationLevel</key>
        <integer>103</integer>
        <key>numberOfHistoryDonationAttempts</key>
        <integer>1</integer>
        <key>showingAllReadingListBookmarks</key>
        <true/>
    </dict>
</plist>

1
拉萨

即时通讯

手机机主查询过那个人的身份信息。(标准格式:龙信)

image-20240128215901745

image-20240128215928784

1
龙黑

请问机主共转多少费用用于数据查询。(标准格式:1000)

1
1100

机主查询的信息中共有多少男性。(标准格式:阿拉伯数字)

image-20240128220006234

一开始看到冯宝宝,10就填上去了…….

image-20240128220029137

身份证号码是有18位数字组成,其中的第17位为公民的性别,也就是说倒数第二位为奇数的是男生,偶数是女生。 15位身份证号码:第7、8位为出生年份(两位数),第9、10位为出生月份,第11、12位代表出生日期,第15位代表性别,奇数为男,偶数为女。

1
4

计算机取证

基本信息

计算机系统的安装日期是什么时候。(标准格式:20240120)

image-20240128220211162

1
2
20240112

系统痕迹

请问机主最近一次访问压缩包文件得到文件名称是什么。(标准格式:1.zip)

image-20240128220242159

1
data.zip

数据库分析

还原数据库,请分析root用户最后一次更改密码的时间是什么时候。(标准格式:2024-01-20.12:12:12)

这里要解密bitlocker,因为没有内存文件,所以我判断应该是检材联动,或者在PC的原始数据里面

image-20240128220536438

很多同学可能被这个迷惑了,拿这个作掩码去爆破,概念混淆了

这其实是恢复密钥标识,看长度就知道了,dg是可以看的

真正的恢复密钥格式是######-######-######-######-######-######-######-######这么长长一串的

image-20240128220629055

然后看检材联动,在备忘录里发现密码

image-20240128220935975

解密之后仿真做

image-20240128222402017

解压zip需要密码

image-20240128222434104

掩码爆破,验一下哈希

image-20240128222511892

掩码:?d?d?d?d?d?d?d?d555

image-20240128222913281

查看表结构,发现使用了默认的存储引擎Innodb

image-20240128223019799

如果使用了Innodb创建一张表,那么在文件夹下面就会出现表名.frm和表名.ibd两个文件,如果使用的是Myisam,那么就会出现三个文件,frm、MYD、MYI

其中ibd文件是innodb的表数据文件,而frm文件时innodb的表结构文件,mysiam存储引擎的表中,frm是表结构,MYI是索引文件,MYD是数据文件,从这里可以看出innodb存储引擎的索引和数据是在一起的,而Myisam存储引擎索引和数据是分开的

然后,判断mysql的版本,随便打开一个frm

image-20240128223554146

(C626)16=(50726)10

phpstudy起一个一样版本的mysql

image-20240128223705008

替换data文件夹,my.ini中绕密

image-20240128223925342

1
2
3
4
SELECT password_last_changed
FROM `user`
WHERE `User`='root'

1
2
2021-03-17.15:49:52

请问mysql数据库中共存在多少个数据库。(标准格式:阿拉伯数字)

image-20240128223935763

1
5

员工编号为204200的员工总工资为多少元。(标准格式:阿拉伯数字)

1
2
3
SELECT SUM(salary)
FROM salaries_list
WHERE emp_no='204200'
1
488313

Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。(标准格式:阿拉伯数字)

1
2
3
SELECT COUNT(*)
FROM hiredate
WHERE dept_no='d002' AND from_date>='1999-01-01'
1
1486

邮箱服务器

请问邮箱服务器的登录密码是多少。(标准格式:admin)

  • 法一

    image-20240128224419791

  • 法二

    image-20240128225422027

  • 法三

    image-20240128225516695

    image-20240128225631152

1
900110

邮件服务器中共有多少个账号。(标准格式:阿拉伯数字)

image-20240128225741243

1
3

邮件服务器中共有多少个域名。(标准格式:阿拉伯数字)

image-20240128225723368

1
3

请问约定见面的地点在哪里。(标准格式:太阳路668号)

image-20240128225807816

可疑的图片,怀疑隐写

image-20240128225847797

修改高度

1
中国路999号

apk分析

APP包名是多少。(标准格式:com.xxx.xxx)

image-20240128230130222

1
com.example.readeveryday

apk的主函数名是多少。(标准格式:comlongxin)

image-20240128230202219

1
StartShow

apk的签名算法是什么。(标准格式:xxx)

image-20240128230236527

1
SHA1withRSA

apk的应用版本是多少。(标准格式:1.2)

image-20240128230430639

1
1.0

请判断该apk是否需要联网。(标准格式:是/否)

image-20240128230420892

1

APK回传地址?(标准格式:127.0.0.1:12345)

image-20240128230520459

1
10.0.102.135:8888

APK回传数据文件名称是什么。(标准格式:1.txt)

image-20240128230533179

1
Readdata.zip

APK回传数据加密密码是多少。(标准格式:admin)

image-20240128230657499

1
19_08.05r

APK发送回后台服务器的数据包含以下哪些内容?(多选)

A.手机通讯录 B.手机短信 C.相册 D.GPS定位信息 E.手机应用列表

image-20240128230737754

1
ABE

Galaxy#b3nguang

写于2024/1/28