“獬豸杯”电子数据取证大赛
冯宝宝那里卡了好久真绷不住了………
手机备份包
手机基本信息
IOS手机备份包是什么时候开始备份的。(标准格式:2024-01-20.12:12:12)
log.txt
1 | Thread Id [ 25464 ] Time[ 14:19:44 ] val[ 0000 ] bk start |
1 | 2024-01-15.14:19:44 |
请分析,该手机共下载了几款即时通讯工具。(标准格式:阿拉伯数字)
遛一下火眼
1 | 3 |
手机机主的号码得ICCID是多少。(标准格式:阿拉伯数字)
1 | 89860320245121150689 |
手机机主登录小西米语音的日期是什么时候。(标准格式:20240120)
1 | 20240115 |
地图数据
请问嫌疑人家庭住址在哪个小区。(标准格式:松泽家园)
1 | 天铂华庭 |
浏览器
Safari浏览器书签的对应数据库名称是什么。(标准格式:sqltie.db)
1 | Bookmarks.db |
手机机主计划去哪里旅游。(标准格式:苏州)
火眼没有解析出safari的历史记录,只能手搓这道题
介绍一下IOS几个重要的文件
文件名 | 作用 |
---|---|
Manifest.db | 保存所有的文件夹名称 |
Info.plist | 保存了设备的基础信息 |
Manifest.plist | 保存了设备上安装的应用信息 |
Status.plist | 保存了备份的状态 |
1 | SELECT * FROM "main"."Files" WHERE "main"."Files"."fileID" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."domain" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."relativePath" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."flags" LIKE '%safari%' ESCAPE '\' OR "main"."Files"."file" LIKE '%safari%' ESCAPE '\' |
1 | 2024年01月15日_14时19分44秒_iPhone.tar/AppDomain-com.apple.mobilesafari/Library/Preferences/com.apple.mobilesafari.plist |
1 |
|
1 | 拉萨 |
即时通讯
手机机主查询过那个人的身份信息。(标准格式:龙信)
1 | 龙黑 |
请问机主共转多少费用用于数据查询。(标准格式:1000)
1 | 1100 |
机主查询的信息中共有多少男性。(标准格式:阿拉伯数字)
一开始看到冯宝宝,10就填上去了…….
身份证号码是有18位数字组成,其中的第17位为公民的性别,也就是说倒数第二位为奇数的是男生,偶数是女生。 15位身份证号码:第7、8位为出生年份(两位数),第9、10位为出生月份,第11、12位代表出生日期,第15位代表性别,奇数为男,偶数为女。
1 | 4 |
计算机取证
基本信息
计算机系统的安装日期是什么时候。(标准格式:20240120)
1 | 20240112 |
系统痕迹
请问机主最近一次访问压缩包文件得到文件名称是什么。(标准格式:1.zip)
1 | data.zip |
数据库分析
还原数据库,请分析root用户最后一次更改密码的时间是什么时候。(标准格式:2024-01-20.12:12:12)
这里要解密bitlocker,因为没有内存文件,所以我判断应该是检材联动,或者在PC的原始数据里面
很多同学可能被这个迷惑了,拿这个作掩码去爆破,概念混淆了
这其实是恢复密钥标识,看长度就知道了,dg是可以看的
真正的恢复密钥格式是######-######-######-######-######-######-######-######这么长长一串的
然后看检材联动,在备忘录里发现密码
解密之后仿真做
解压zip需要密码
掩码爆破,验一下哈希
掩码:?d?d?d?d?d?d?d?d555
查看表结构,发现使用了默认的存储引擎Innodb
如果使用了Innodb创建一张表,那么在文件夹下面就会出现表名.frm和表名.ibd两个文件,如果使用的是Myisam,那么就会出现三个文件,frm、MYD、MYI
其中ibd文件是innodb的表数据文件,而frm文件时innodb的表结构文件,mysiam存储引擎的表中,frm是表结构,MYI是索引文件,MYD是数据文件,从这里可以看出innodb存储引擎的索引和数据是在一起的,而Myisam存储引擎索引和数据是分开的
然后,判断mysql的版本,随便打开一个frm
(C626)16=(50726)10
phpstudy起一个一样版本的mysql
替换data文件夹,my.ini中绕密
1 | SELECT password_last_changed |
1 | 2021-03-17.15:49:52 |
请问mysql数据库中共存在多少个数据库。(标准格式:阿拉伯数字)
1 | 5 |
员工编号为204200的员工总工资为多少元。(标准格式:阿拉伯数字)
1 | SELECT SUM(salary) |
1 | 488313 |
Finance部门中在1999年1月1日当天和之后入职的人员数量是多少名。(标准格式:阿拉伯数字)
1 | SELECT COUNT(*) |
1 | 1486 |
邮箱服务器
请问邮箱服务器的登录密码是多少。(标准格式:admin)
法一
法二
法三
1 | 900110 |
邮件服务器中共有多少个账号。(标准格式:阿拉伯数字)
1 | 3 |
邮件服务器中共有多少个域名。(标准格式:阿拉伯数字)
1 | 3 |
请问约定见面的地点在哪里。(标准格式:太阳路668号)
可疑的图片,怀疑隐写
修改高度
1 | 中国路999号 |
apk分析
APP包名是多少。(标准格式:com.xxx.xxx)
1 | com.example.readeveryday |
apk的主函数名是多少。(标准格式:comlongxin)
1 | StartShow |
apk的签名算法是什么。(标准格式:xxx)
1 | SHA1withRSA |
apk的应用版本是多少。(标准格式:1.2)
1 | 1.0 |
请判断该apk是否需要联网。(标准格式:是/否)
1 | 是 |
APK回传地址?(标准格式:127.0.0.1:12345)
1 | 10.0.102.135:8888 |
APK回传数据文件名称是什么。(标准格式:1.txt)
1 | Readdata.zip |
APK回传数据加密密码是多少。(标准格式:admin)
1 | 19_08.05r |
APK发送回后台服务器的数据包含以下哪些内容?(多选)
A.手机通讯录 B.手机短信 C.相册 D.GPS定位信息 E.手机应用列表
1 | ABE |
Galaxy#b3nguang
写于2024/1/28