看了题目背景,感觉是个好玩的东西。
故事梗概:爱而不得,进而由爱生恨。作为有黑客背景的他,激发出了强烈的占有欲,虽然不能在真实物理世界成为她的伴侣,但在虚拟世界里,他执着的要成为她的主宰,于是,我们的故事开始了……。手机,电脑,服务器,木马,AI,Iot设备……无一幸免的都成为他的作案工具或目标,但最终在诸位明察秋毫的取证达人面前,都无处遁形,作恶者终将被绳之以法。追悔莫及的他最后终于明白,其实真正的爱,不是占有,而是放手!!!
由于环境配置问题,部分题目没有解出。
题目描述
"2025年4月,杭州滨江警方接到辖区内市民刘晓倩(简称:倩倩)报案称:其个人电子设备疑似遭人监控。经初步调查,警方发现倩倩的手机存在可疑后台活动,手机可能存在被木马控制情况;对倩倩计算机进行流量监控,捕获可疑流量包。遂启动电子数据取证程序。
警方通过对倩倩手机和恶意流量包的分析,锁定一名化名“起早王”的本地男子。经搜查其住所,警方查扣一台个人电脑和服务器。技术分析显示,该服务器中存有与倩倩设备内同源的特制远控木马,可实时窃取手机摄像头、手机通信记录等相关敏感文件。进一步对服务器溯源,发现“起早王”曾渗透其任职的科技公司购物网站,获得公司服务器权限,非法窃取商业数据并使用公司的服务器搭建Trojan服务并作为跳板机实施远控。
请你结合以上案例并根据相关检材,完成下面的勘验工作。"
检材:
window.e01
20250415_181118.zip
export-disk0-000002.vmdk
BLE
USBPcap通过网盘分享的文件:平航杯题目
链接: https://pan.baidu.com/s/1W_qpPBywESchS2UCovFgYA?pwd=njf7 提取码: njf7
--来自百度网盘超级会员v6的分享
MD5: 6F3AE91C3152E8394B2E743FB2C75CCE
大小: 75161927680 字节
(是一个veracrypt加密,密钥是 早起王的爱恋日记❤
计算机题目
计算机插入过usb序列号是什么
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR
便签里有几条待干
安装上就有了。
起早王的计算机默认浏览器是什么
是MSEDGE
起早王在浏览器里看过什么小说
起早王计算机最后一次正常关机时间
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows
起早王开始写日记的时间(
看下逻辑就能逆了吧(
currentuser下的.rednotebook就是
那那还是很有生活的。(2025/03/03)
SillyTavern中账户起早王的创建时间是什么时候(格式:2020/1/1 01:01:01)
> node
Welcome to Node.js v21.7.1.
Type ".help" for more information.
> new Date(1741607525472)
2025-03-10T11:52:05.472ZSillyTavern中起早王用户下的聊天ai里有几个角色(格式:1)
SillyTavern中起早王与ai女友聊天所调用的语言模型(带文件后缀)(格式:xxxxx-xxxxxxx.xxxx)
另外这里值得注意的一点是,这里给出了bitlocker的密码。
电脑中ai换脸界面的监听端口(格式:80)
电脑中图片文件有几个被换过脸(格式:1)
这里是在D盘(bitlocker加密了)
最早被换脸的图片所使用的换脸模型是什么(带文件后缀)(格式:xxxxxxxxxxx.xxxx)
同样D盘有信息的。
inswapper_128_fp16.onnx
neo4j中数据存放的数据库的名称是什么(格式:abd.ef)
neo4j数据库中总共存放了多少个节点(格式:1)
neo4j数据库内白杰的手机号码是什么(格式:12345678901)
分析neo4j数据库内数据,统计在2025年4月7日至13日期间使用非授权设备登录且登录地点超出其注册时登记的两个以上城市的用户数量(格式:1)
起早王的虚拟货币钱包的助记词的第8个是什么(格式:abandon)
这个似乎是日记里说的,
搞了个钱包,助记词老是要忘记掉怎么办,要不放在输入法里试试。微软输入法自定义短语里可以看到。但是我还是没有 配好环境。。
于是draft。
起早王的虚拟货币钱包是什么(格式:0x11111111)
直接恢复钱包。
0xd8786a1345cA969C792d9328f8594981066482e9
起早王请高手为倩倩发行了虚拟货币,请问倩倩币的最大供应量是多少(格式:100qianqian)
起早王总共购买过多少倩倩币(格式:100qianqian)
521
起早王购买倩倩币的交易时间是(单位:UTC)(格式:2020/1/1 01:01:01)
AI题目
这里看题解说是前三个就骗一骗AI就行。环境没打好呜呜。
分析crack文件,获得flag1(格式:flag1{123456})
分析crack文件,获得flag2(格式:flag2{123456})
分析crack文件,获得flag3(格式:flag3{123456})
分析crack文件,获得flag4(格式:flag4{123456})
手机题目
该检材的备份提取时间(UTC)(格式:2020/1/1 01:01:01)
额真是文件名吗?减8是utc时间。
分析倩倩的手机检材,手机内Puzzle_Game拼图程序拼图APK中的Flag1是什么(格式:xxxxxxxxx)
丢到手机上frida直接hook好了。
function getFlag() {
let AESUtil = Java.use("com.example.puzzlegame.util.AESUtil").$new();
console.log(AESUtil.decryptFlag());
}
function main() {
Java.perform(() => {
getFlag();
})
}
setImmediate(main)
分析手机内Puzzle_Game拼图程序,请问最终拼成功的图片是哪所大学(格式:浙江大学)
社工吧。
木马app是怎么被安装的(网址)(格式:http://127.0.0.1:1234/)
参考这篇:
可以写一个简单的解压脚本。
r = open("DATA/浏览器(com.android.browser).bak","rb").read()
idx = r.find(b"none\n") + 5
r = r[idx:]
open("1.tar","wb").write(r)可以再里面找到这个。加上文件名就是了。
检材内的木马app的hash是什么(格式:大写md5)
那就是这个文件的md5了
检材内的木马app的应用名称是什么(格式:Baidu)
com.example.reverseshell
检材内的木马app的使用什么加固(格式:腾讯乐固)
点开看一眼文件有个secshell,邦邦加固没跑了
检材内的木马软件所关联到的ip和端口是什么(格式:127.0.0.1:1111)
https://56.al/ 上传看看