2024数证杯初赛

答题平台

DIDCTF-电子数据取证综合平台

挂载/解压密码:/TP2G-hq#(Ss!EUq,RR:Ss9”@!R”{-.kNw+-(gwGq.YLDS-|NEWH(GT3;6;`

不会的题目参考:

2024年数证杯初赛writeup

2024数证杯初赛WP_数证杯wp-CSDN博客

计算机取证(不包括U盘):20/24

计算机取证

1.[填空题] 对计算机镜像进行分析,计算该镜像中ESP分区的SM3值后8位为?(答案格式:大写字母与数字组合,如:D23DDF44)(2分)

0F996FF3689734140D027383B87CA400FBB1083EB813E1A687D931C8BDBE1073

2.[填空题] 对计算机镜像进行分析,该操作系统超管账户最后一次注销时间为?(时区为UTC+08:00)(答案格式如:1970-01-01 00:00:00)(2分)

2024-10-25 22:57:32

复盘:让我查事件ID的人我觉得意义不明,甚至说干扰。

倒序logout即可。

3.[填空题]对计算机镜像进行分析,该操作系统超管账户有记录的登录次数为?(填写数字,答案格式如:1234)(2分)

意义不明

有两种机器名

记得筛选第一个(因为第2题全是第一个 提交成功)

啊还是不对 等一下


复盘:

24

4.[填空题] 对计算机镜像进行分析,该操作系统设置的账户密码最长存留期为多少天?(填写数字,答案格式如:1234)(2分)

按下 <font style="color:rgb(0, 0, 0);">Win + R</font>键,输入 **<font style="color:rgb(0, 0, 0);">gpedit.msc</font>** 打开“组策略编辑器”:

5.[填空题] 对计算机镜像进行分析,该操作系统安装的数据擦除软件的版本为? (答案格式:1.23)(2分)

5.86

6.[填空题] 对计算机镜像进行分析,该操作系统接入过一名称为“Realtek USB Disk autorun USB Device的USB设备,其接入时分配的盘符为?(答案格式:A:)(2分)

7.[填空题] 对计算机镜像进行分析,该操作系统无线网卡分配的默认网关地址为?(答案格式:127.0.0.1)(2分)

错解

172.24.192.1 不对

172.21.96.1

192.168.100.5

查这里就能看到

8.[填空题] 对计算机镜像进行分析,该操作系统配置的连接NAS共享文件夹的IP地址为?(答案格式:127.0.0.1)(2分)

\192.168.188.1\NAS

9.[填空题] 对计算机镜像进行分析,写出“吵群技巧.txt”文件SM3值的后8位?(大写字母与数字组合,如:D23DDF44)(2分)

4767951e073483956c0ae607c0e8920eba840c7f45691a0c700ace98<u><font style="color:rgb(0, 82, 217);">10887ae1</font></u>

10.[填空题] 对计算机镜像进行分析,该操作系统通过SSH连接工具连接CCTalk测试环境的SSH端口为?(填写数字,答案格式如:1234)(2分)

12849

11.[填空题] 对计算机镜像进行分析,该操作系统通过SSH连接工具连接的CCTalk境外服务器是哪个运营商的? (填写汉字,答案格式:阿里云)(2分)

回收站内的文件拿出来重新打开:

所以是亚马逊云

12.[填空题] 对计算机镜像进行分析,获取机主保存在本机的U盾序号的后4位数字为?(填写数字,答案格式如:1234)(2分)

binwalk提取:

6409

13.[填空题] 对计算机镜像进行分析,机主存储的某篇新闻报道“小程序搅动资源争夺战”的发表年份为?(答案格式:2024)(2分)

GentleCAJ - 在线CAJ转PDF工具,免费不限页数

2019

14.[填空题]对计算机镜像进行分析,该操作系统访问“环球商贸”的IP地址为? (答案格式:127.0.0.1)(2分)

39.108.126.128

15.[填空题]对计算机镜像进行分析,“环球商贸”服务器配置的登录密码为? (答案按照实际填写,字母存在大小写)(2分)

同上

HQSM#20231108@gwWeB

16.[填空题]对计算机镜像进行分析,机主安装的PC-Server服务环境的登录密码是?(答案按照实际填写,字母全小写)(2分)

jlb654321

17.[填空题] 对计算机镜像进行分析,机主搭建的**宝塔**面板的安全入口为? (答案格式:/abc123)(2分)

重构:

仿真镜像,分配ens33的ip地址,ssh连接

/c38b336a

18.[填空题] 对计算机镜像进行分析,机主搭建的宝塔面板的登录账号为?(答案格式:abcd)(2分)

igmxcdsa

19.[填空题] 对计算机镜像进行分析,其搭建的宝塔面板的登录密码为? (按实际值填写)(2分)

看其他人wp也说抽象哈哈.

20.[填空题] 对计算机镜像进行分析,机主搭建的宝塔环境中绑定的宝塔账号是?(按实际值填写)(4分)

全局搜8390后,筛选包含178字段的内容:

219 V17859628390 p223 ssVtab

搜素大法就像是高中建系一样。。

别人是在/www/server/panel/data/userinfo.json里面找到的

21.[填空题] 对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境的root密码为? (按实际值填写)(4分) ![](https://cdn.nlark.com/yuque/0/2025/png/54208227/1761730822468-d2d722b0-3b63-43e3-9816-9d97f012aa0a.png)

22.[填空题] 对计算机镜像进行分析,机主搭建的宝塔面板中Mysql环境连接的端口号为?(填写数字,答案格 式如:1234)(2分)

23.[填空题]接上题,“卡号分组”表所在的数据库名为?(答案按照实际填写,字母全小写)(4分)

24.[填空题]接上题,“孙华锦”在2020-07-01 10:49:07时间节点的交易余额为?(答案格式:1234.56)(4分)

mysql导出,然后wps选择即可:

U盘取证

涉及到U盘的话我就完全不会了:

X-Ways

R-Studio

25.[填空题]对U盘镜像进行分析,其镜像中共有几个分区?(填写数字,答案格式如:1234)(2分)

x-ways导入即可

一开始写的是3,但是不对。仔细看了一下提示2可能不是真实分区,所以是2.

26.[填空题] 对U盘镜像进行分析,其中FAT32主分区的FAT表数量有几个?(请使用十进制数方式填写答案,答案格式:1234)(2分)

1

27.[填空题] 对U盘镜像进行分析,其中FAT32主分区定义的每扇区字节数为? (请使用十进制数方式填写答案,答案格式:1234)(2分)

4kb 8个扇区,所以一个扇区是512字节

512

28.[填空题] 对U盘镜像进行分析,其中FAT32主分区的文件系统前保留扇区数为?(请使用十进制数方式填写答案,答案格式:1234)(2分)

29.[填空题] 对U盘镜像进行分析,其中FAT32主分区的FAT1表相对于整个磁盘的起始扇区数为?(请使用十进制数方式填写答案,答案格式:1234)(2分)

两题一起看:一个是针对该主分区,一个是针对整个磁盘

针对<font style="color:rgb(77, 77, 77);">FAT32主分区的文件系统</font>时,搜F8FFFF0F

遇到在扇区开头的即可

7345

这里也可以看(仅扫描FAT32)

当针对整个磁盘的时候:

扫描整个磁盘再看对应的分区,

9393

30.[填空题] 对U盘镜像进行分析,其中NTFS逻辑分区的$MFT起始簇号为?(请使用十进制数方式填写答案,答案格式:1234)(2分)

31.[填空题] 对U盘镜像进行分析,其中NTFS逻辑分区的簇大小为多少个扇区?(请使用十进制数方式填写答案,答案格式:1234)(4分)

32.对 U 盘镜像进行分析,请从该镜像的两个分区中找出使用 “新建文本文档.txt” 记录的同一个 MD5 值的两部分信息,并写出该 MD5 值的第 13--20 位字符串。(答案格式:小写字母与数字组合,如:d23ddf44)

把U盘里的东西导出来,用foremost提取

把另外一个分区的打不开的图片用同样的方法提取:

1b31d0139c8dd668****4fa0a716dffe

1b31d0139c8d****aee24fa0a716dffe

1b31d0139c8dd668aee24fa0a716dffe

手机取证

1.[填空题]对手机镜像进行分析,机主微信ID号为? (答案按照实际填写,字母全小写)(2分)

<font style="color:rgba(0, 0, 0, 0.87);">wxid_gvlyzqeyg83o22</font>

2.[填空题]对手机镜像进行分析,机主在2023年12月登录宝塔面板使用的验证码为?(填写数字,答案格式如:1234)(2分)

482762

3.[填空题] 对手机镜像进行分析,小众即时通讯“鸽哒”应用程序的最后更新时间为? (答案格式如:1970-01-01 00:00:00)(2分)

4.[填空题】对手机镜像进行分析,该手机中记录的最后一次开机时间。(答案格式如:1970-01-01 00:00:00)(2分)

5.[填空题】对手机镜像进行分析,该手机中高德地图APP应用的登录ID为? (答案按照实际填写)(2分)

950980338

950980338

?6.[填空题] 对手机镜像进行分析,该手机中高德地图APP应用登录账号头像的SHA-256值前8位为?(答案格式:大写字母与数字组合,如:D23DDF44)(2分)

7.[填空题] 对手机镜像进行分析,其中20220207-20230206的微信账单文件的解压密码为?(答案格式:按实际值填写)(2分)

爆一下:

查一下:

847905

8.[填空题] 对手机镜像进行分析,机主在手机中存储的一张复古土砌矮墙照片的拍摄地为哪个城市?(答案格式:北京市)(2分)

景德镇市

?9.[填空题] 对手机镜像进行分析,通过AI合成的人脸照片中,有几张照片是通过本机当前安装的AI照片合成工具生成,并有对应记录的?(填写数字,答案格式如:1234)(4分)

3

10.[填空题] 对手机镜像进行分析,统计出通讯录号码归属地第二多的省份是?(答案格式:广东)(4分)

福建

11.[填空题]对手机镜像进行分析,找出“季令柏”身份证号后4位为?(答案格式:1234)(2分)

补文件头

8043

12.对手机镜像进行分析,找出接收“葵花宝典1.doc”文件使用的应用程序的第一次安装时间为?(答案格式如:1970-01-01 00:00:00) (2分)

tg:

2024-09-20 09:29:40

13.对手机镜像进行分析,机主使用的小众即时通讯应用使用的服务器IP为?(答案格式:127.0.0.1) (2分)

163.179.125.64

14.对手机镜像进行分析,机主在哪个平台上发布过转让传奇游戏币的信息,请写出该平台应用APP的包名?(答案格式:com.abcd) (4分)

有个95分app,里面有很多二手商品的图片,感觉像

仔细看了看,发现了

com.jiuwu

15.对手机镜像进行分析,其中有一“双色球”网页的玩法规则中定义的“三等奖”的奖金是多少?(填写数字,答案格式如:1234) (4分)

https://www.lottery.gov.cn/dlt/index.html

https://www.lottery.gov.cn/jc/index.html

https://www.lottery.gov.cn/cz/index.html

https://www.lottery.gov.cn/xdgg/

https://www.lottery.gov.cn/plwf/index.html

https://www.lottery.gov.cn/qxc/index.html

[https://www.cwl.gov.cn/fcpz/yxjs/ssq/](https://www.cwl.gov.cn/fcpz/yxjs/ssq/)(ssq双色球的意思)

https://www.cwl.gov.cn/fcpz/yxjs/ggl/

https://www.cwl.gov.cn/fcpz/yxjs/fc3d/

https://www.cwl.gov.cn/fcpz/yxjs/kl8/

25/11/3补充:

手机仿真:

安装完软件之后,在路径/data/data/下,一定先要把它原来的文件包删除,再把手机镜像文件的文件包拷过去。

16.对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的用户ID为?(答案格式:答案按照实际填写) (2分)

17.对手机镜像进行分析,找出手机连接过的米家摄像头终端设备的IP地址为?(答案格式:127.0.0.1) (4分)

192.168.110.106

数据分析

1.对计算机,手机,U盘镜像检材综合分析,找出计算机中VC加密容器使用的登录密钥文件,其中逻辑大小较小的文件占用多少个字节?(答案格式:1234) (4分)

1173

2.对计算机,手机,U盘镜像检材综合分析,写出存储的“带彩计划.txt”文件的SM3哈希值前8位;(大写字母与数字组合,如:D23DDF44) (2分)

出不来。

3.对计算机,手机,U盘镜像检材综合分析,写出存储的“Shakepay买币,提币流程.ppt”文件在当前分区的起始簇号;(填写数字,答案格式如:1234) (4分)

一样。

4.对计算机,手机,U盘镜像检材综合分析,写出存储在手机中,用于访问钱包地址的网站登录密码;(答案按照实际填写,字母全大写) (4分)

私密相册

X29772024

5.对计算机,手机,U盘镜像检材综合分析,写出存储的钱包地址的前8位;(答案格式:abcd1234) (4分)

0x91cCcA87583969193D87e8A890Beb396687b36c0

6.对计算机,手机,U盘镜像检材综合分析,写出存储的钱包地址私钥的前8位;(答案格式:abcd1234) (4分)

e87dca4ce90cdc372dcb3b83a4b06940daa7b41534a2b4d6906abe6d1f861108

7.对计算机,手机,U盘镜像检材综合分析,统计出机主微信账单从210207-240206期间发生的转入金额第三高的“对方卡号”字段的值为?(答案格式:汉字) (2分)

不好意思开了wps会员。

导入火眼,筛选“进”,建立关系上图:

星辰

8.对计算机,手机,U盘镜像检材综合分析,统计出机主微信账单从210207-240206期间发生的“对方卡号”字段值为“陈建设”的转出净值为?(填写数字,答案格式如:1234) (2分)

501661
这玩意大家都做出来是这个值,平台提交有问题

9.对计算机,手机,U盘镜像检材综合分析,统计出机主微信账单从210207-240206期间发生的交易笔数第三多的数量为?(填写数字,答案格式如:1234) (2分)

207

10. [填空题]对数据分析检材中的第01-数据进行分析,办案人员从多个赌博网站中导出了100多份的报表,请统计出所有平台会员使用本币充值的总金额是多少?(答案格式:仅数字,结果不保留小数) (2分)

ai跑了一个代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
import os
import pandas as pd
import chardet

def calculate_total_recharge(folder_path):
    """
    统计指定文件夹中所有CSV文件的充值总金额
    """
    total_amount = 0
    
    for filename in os.listdir(folder_path):
        if filename.endswith('.csv'):
            file_path = os.path.join(folder_path, filename)
            try:
                # 检测文件编码
                with open(file_path, 'rb') as f:
                    encoding = chardet.detect(f.read())['encoding']
                
                # 处理UTF-16LE文件
                if encoding == 'UTF-16LE':
                    with open(file_path, 'r', encoding='utf-16-le') as f:
                        lines = f.readlines()
                        for line in lines[1:]:  # 跳过标题行
                            parts = line.strip().split(',')
                            if len(parts) >= 4:
                                try:
                                    total_amount += float(parts[3])
                                except ValueError:
                                    continue
                else:
                    # 尝试多种编码读取
                    encodings = [encoding, 'utf-8-sig', 'gbk', 'gb2312', 'gb18030']
                    for enc in encodings:
                        try:
                            df = pd.read_csv(file_path, encoding=enc)
                            if '充值金额' in df.columns:
                                numeric_amounts = pd.to_numeric(df['充值金额'], errors='coerce')
                                total_amount += numeric_amounts.sum()
                            break
                        except:
                            continue
            except Exception as e:
                print(f"处理文件 {filename} 时出错: {e}")
                continue
    
    return int(total_amount)

# 使用
folder_path = r"E:\电子取证\2024数证杯初赛\检材 数据分析\01-数据"
result = calculate_total_recharge(folder_path)
print(result)

17590342

11. [填空题]对数据分析检材中的第02-数据进行分析,办案人员在电脑中找到多个赌博网站的交易流水报表,每个报表都是以网站编号 和年份命名,每个月独立生成一个sheet页。请统计出所有的交易流水总金额是多少?(答案格式::123456) (2分)

wps合并一下:

要全部去绝对值(意义不明)

120630660

12. [填空题]对数据分析检材中的第03-数据进行分析,请从赌博平台的用户登录日志表中,统计出2020年1月1号至2020年6月30号,总共有多少位会员登录了该平台?(答案格式:123456) (2分)

13. [填空题]对数据分析检材中的第03-数据进行分析,通过还原赌博平台数据库备份文件,请统计用户投注总次数前5的彩种开奖总次数?(涉及的数据库表:ssc2022_bets,ssc2022_data)(答案格式:123456) (4分)

14. [填空题]对数据分析检材中的第03-数据进行分析,请统计出在不止一种彩种上进行过投注的用户数量,并计算他们在2018年一共涉及了平台多少流水?(答案格式:保留三位有效数字,如:123.123) (4分)

流量分析

1.分析网络流量包检材,写出抓取该流量包时所花费的秒数?(填写数字,答案格式:10) (2分)

2.分析网络流量包检材,抓取该流量包时使用计算机操作系统的build版本是多少?(答案格式:10D32) (2分)

3.分析网络流量包检材,受害者的IP地址是?(答案格式:192.168.1.1) (2分)

4.分析网络流量包检材,受害者所使用的操作系统是?(小写字母,答案格式:biwu) (2分)

5.分析网络流量包检材,攻击者使用的端口扫描工具是?(小写字母,答案格式:abc) (2分)

6.分析网络流量包检材,攻击者使用的漏洞检测工具的版本号是?(答案格式:1.1.1) (2分)

7.分析网络流量包检材,攻击者通过目录扫描得到的 phpliteadmin 登录点是?(答案格式:/abc/abc.php) (2分)

8.分析网络流量包检材,攻击者成功登录到 phpliteadmin 时使用的密码是?(答案格式:按实际值填写) (2分)

9.分析网络流量包检材,攻击者创建的 phpinfo 页面文件名是?(答案格式:abc.txt) (4分)

10.分析网络流量包检材,攻击者利用服务器漏洞从攻击机上下载的 payload 文件名是?(答案格式:abc.txt) (4分)

11.分析网络流量包检材,攻击者反弹shell的地址及端口是?(答案格式:192.168.1.1:1234) (4分)

12.分析网络流量包检材,攻击者电脑所使用的Python版本号是?(答案格式:1.1.1) (2分)

13.分析网络流量包检材,受害者服务器中网站所使用的框架结构是?(答案格式:thinkphp) (2分)

14.分析网络流量包检材,攻击者获取到的数据库密码是?(答案格式:大小写按实际值填写) (4分)

15.分析网络流量包检材,攻击者上传了一个weevely木马进行权限维持,上传时所使用的端口号为?(答案格式:3306) (2分)

16.分析网络流量包检材,攻击者上传了一个weevely木马进行权限维持,该木马第一次执行时获取到的缓冲区内容是?(答案格式:按实际值填写) (4分)