智能冰箱
1. 冰箱的品牌?【标准格式:xiaomi】 Analyze the smart refrigerator: What is its brand? [Answer format: xiaomi]
Panasonic
2. 智能冰箱的型号?【标准格式:MiFridge2024】 What is the model of the smart refrigerator? [Answer format: MiFridge2024]
NR-E46CV1
3. 冰箱的uuid?【标准格式:34567890-12cd-efab-3456-789012cdefab】 Find the UUID of the smart refrigerator. [Answer format: 34567890-12cd-efab-3456-789012cdefab]
这个我当时是没找到的,心细一点应该能看到其实这一行的格式和他提供的格式非常之像
12345678-90ab-cdef-1234-567890abcdef
4. 冰箱默认保存几张图片?【标准格式:1】 How many images are saved by default in the smart refrigerator? [Answer format: 1]
原本用~~binwalk -e bx.bin~~但是一直没有办法提取出来文件,后来在网上看到可以用 ~~`binwalk –dd=”.*” bx.bin`就成功提取了,这是提取的结果~~这个办法也不行,因为他会提取文件的同时把剩下的不要的二进制一起放在最后一个文件里面
用foremost,命令:foremost -T file,这里用的是foremost -T bx.bin
这里甚至做好了分类,当然binwalk也可以用
当时是只看到了4张照片于是乎就填了4,但是其实应该敏感点的:
看二进制文件每一张照片之前都有face1、face2等等
然后搜索到最多有face5
5. 冰箱中已存的第一张图片上的内容是什么?【标准格式:满城尽带黄金甲】 What is the content of the first saved image? [Answer format: 满城尽带黄金甲]
盘古石贾韦码
6. 请问冰箱中已存的第二张图片的名称是什么?【标准格式:123.jpg】 What is the filename of the second saved image? [Answer format: 123.jpg]
7.冰箱中隐藏的内容?【标准格式:chuzixizipizi】 Find the hidden content in the refrigerator. [Answer format: chuzixizipizi]
pangushicup
8. 找出冰箱中嫌疑人图片MD5值的后六位?【标准格式:1a2b3d】 What are the last six chars of the MD5 hash for the suspect’s image in the refrigerator? [Answer format: 1a2b3d]
这里其实暴露了我应该看完案情之后再做题,谁是嫌疑人我真不知道,但是当时猜了一下(四张图片三张都是贾韦码,所以选了另外一个钟无声)
882564
9. 请找出冰箱最后一次开门时间?【标准格式:10:11】 When was the refrigerator last opened? [Answer format: 10:11]
不知道不知道不知道网上也没找到答案
10. 默认图片的存储限制大小是多少?【标准格式:1KB】 What is the default size limit for saved images? [Answer format: 1KB]
所以是**100KB**
11. 分析video.E01,被修改的录像md5前5位是?【标准格式:1a2b3】 Analyze video.ex01: What are the first five chars of the MD5 hash for the modified video? [Answer format: 1a2b3]
综合了一下找到了一个相对靠谱的答案
这里仔细看是能看到13秒左右被裁剪了
ea7be
计算机取证
1. 分析贾韦码计算机检材,计算机系统Build版本为?【标准格式:19000】 Analyze Jia Wei Ma(贾韦码)’s computer sample: What is the system Build number? [Answer format: 19000]
18362
2. 计算机最后一次正常关机的时间为?UTC +0【标准格式:2025-05-06 09:00:00】 When was the computer last shut down normally (UTC +0)? [Answer format: 2025-05-06 09:00:00]
2025-04-18 11:20:54
3. 计算机网卡的MAC地址为?【标准格式:00-0B-00-A0-00-00】 What is the MAC address of the computer’s network interface card? [Answer format: 00-0B-00-A0-00-00]
00-0C-29-0F-69-00
4. 计算机用户“贾韦码” 安全标识符SID为?【标准格式:S-X-X-X-X-X-X-X】 What is the SID of user “贾韦码”? [Answer format: S-X-X-X-X-X-X-X]
S-1-5-21-3733482367-3411043098-2536183883-1001
5. 计算机默认浏览器为?【标准格式:Mozilla Firefox】 What is the default browser on the computer? [Answer example: Mozilla Firefox]
Google Chrome
6. 计算机默认浏览器版本为?【标准格式:000.0.0000.00】 What is the version of the default browser? [Answer format: 000.0.0000.00]
135.0.7049.96
7. 机主通过浏览器搜索国外社交软件为?【标准格式:Whatsapp】 What international social app did the owner search for? [Answer example: Whatsapp]
Telegram
8. 机主的邮箱账号为?【标准格式:pgscup@pgs.com】 What is the owner‘s email account? [Answer format: pgscup@pgs.com]
tqmdavidjohnson300@gmail.com
9. 计算机装过一款反取证软件为?【标准格式:EnCrypt.exe】 What anti-forensic software was installed on the computer? [Answer example: EnCrypt.exe]
VeraCrypt.exe
10. 计算机通过Xshell远程连接的ip地址为?【标准格式:127.0.0.1】 What IP address did the computer connect to via Xshell? [Answer format: 127.0.0.1]
192.168.56.129
11. 机主曾买过一个美国的TG账号,请给该账号的原两步验证密码?【标准格式:8位数字】 The owner purchased an US Telegram account. Provide its original two-step verification password. [Answer format: 8 digits]
13770603
12. 给出其电脑内加密容器的解密密码?【标准格式:Abc@123】 What is the decryption password for the encrypted container on the computer. [Answer format: Abc@123]
N0tep@d++
(这是我的公式)
13. 给出其电脑内加密容器挂载的盘符?【标准格式:C】 What drive letter is assigned to the mounted encrypted container? [Answer format: C]
能看到是F盘
14. 给出其电脑内存放了多少张伪造身份证?【标准格式:10】 How many forged ID cards are stored on the computer? [Answer format: 10]
~~52~~(数出来的)
这里我在网上找到了有1000多的🙄好吧我再找找看哈
找到了(就是上道题容器打开就是了)
1023
15. 找出任敏的身份证编号?【标准格式:18位】 Find the ID number of “Ren Min(任敏)”. [Answer format: 18 digits]
430529195112085460
16. 找出其电脑内存放的密钥文件,计算其MD5?【标准格式:字母小写】 Find the MD5 hash of the key file stored on the computer. [Answer format: lowercase letters]
这是我看到的一个比较靠谱的wp
也就是说被删掉的、找不到的文件可以在这个未使用空间里面找。其实感觉盘古石的好多文件都会放在很好找的地方。,
把这一段十六进制原码另存之后命名rar后缀解压即可:
1022c
17. 找出其电脑内存放的密钥文件,解密此密钥文件,给出其内容?【标准格式:第3届pgscup】 Decrypt the key file stored on the computer and give the content. [Answer format: 第3届pgscup]
一眼base64
zfs加密pool密钥文件
18. 对macOS系统进行解析,登陆的电子邮件服务是谁提供的?【标准格式:pgscup】 Analyze the macOS system. Who provides the email service you log in to? [Standard format: pgscup]
看Safari的浏览记录发现了outlook的记录
outlook
19. 系统备忘录的包名是什么?【标准格式:com.dfefef.note】 What is the package name of the system’s Notes app? [Answer format: com.dfefef.note]
其实这里很明显就是问的macos的,所有直接搜一下:**com.apple.Notes**
20. 图片中隐藏的内容是什么?【标准格式:隐藏内容厨子戏子痞子】 What is the hidden content in the image? [Answer format: 隐藏内容厨子戏子痞子]
图片隐藏内容就是隐写
扫码扫出来就是:位移加密 正向位移操作
21. 被加密文件的扩展名是什么?【标准格式:123】 What is the file extension of the encrypted files? [Answer format: 123]
这玩意一看名字非常可疑,然后查了一下enc就是加密文件
enc
22. 被加密的文件总共有几个?【标准格式:5】 How many encrypted files are there? [Answer format: 5]
检索完之后发现只有1个enc扩展名
23. 贾韦码家使用的智能门锁品牌型号是什么?【标准格式:小米X号】 What is the brand and model of the smart lock used in Jia Wei Ma(贾韦码)’s home? [Answer example: 小米X号]
看了一些wp发现要结合苹果手机等等来做。
手机取证
1. 分析安卓手机检材,手机的IMSI是?[答案格式:660336842291717] Analyze the Android phone: What is the IMSI? [Answer format: 660336842291717]
460036641292715
2. 养鱼诈骗投资1000,五天后收益是?[答案格式:123] Invest 1000 in “Fish farming” scam, what is return after 5 days? [Answer format: 123]
175
3. 分析苹果手机检材,手机的IDFA是?[答案格式:E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17] Analyze the iPhone: What is the IDFA? [Answer format: E377D1D7-BA02-4A79-BB9A-5C2DE5BD1F17]
4. Telegram应用的卸载时间是?[答案格式:2023-01-22-17:37:50] When was uninstall time of Telegram App? [Answer format: 2023-01-22-17:37:50]
5. 机主hotmail邮箱地址是?[答案格式:123345@hotmail.com] What is the user’s Hotmail email address? [Answer format: 123345@hotmail.com]
6. 苹果电脑开机密码是?[答案格式:12345] What is the mac’s power-on password? [Answer format: 12345]
7. Telegram加密通讯中,加密聊天信息用到的第二个解密载体是?[答案格式:123.zip] The second decryption vector used to encrypt chat messages in Telegram encrypted messaging is? [Answer format: 123.zip]
8. 贾韦码的内部代号是?[答案格式:77] What is Jia Wei Ma(贾韦码)’s internal code name? [Answer format: 77]
9. 特快专递的收货地址是?[标准格式:老牛市快速路11号ADE公司] What is the delivery address for the express package? [Answer format: 老牛市快速路11号ADE公司]
Apk取证
1. 分析安卓检材,远控工具包名是?[标准格式:com.app.cpp] Analyze the Android device: What is the package name of the remote control tool? [Answer format: com.app.cpp]
安装好软件之后应该能看得出来是屏幕共享用来远控的软件
com.carriez.flutter_hbb
2. 远控工具中继服务器IP是?[标准格式:192.168.11.11] What is the IP of the relay server in the remote control tool? [Answer format: 192.168.11.11]
在image.zip分析的文件中找到这个软件的包:
然后在模拟器中装mt管理器找到安装软件数据目录的两个地址,然后先把这个包数据全部复制到这两个数据目录,之后再安装就能直接复现了:
59.110.10.229
3. 远控工具ID服务器端口是?[标准格式:8088] What is the “ID server”‘s open port in the remote control tool? [Answer format: 8088]
id服务器的端口就是21116
4. 远控工具中继服务器Key是?[标准格式:HoTwGxUuV9OxSSEWRFsr1DVxQBkbbFRe0ImYMTlzyec=] What is the relay server key in the remote control tool? [Answer format: HoTwGxUuV9OxSSEWRFsr1DVxQBkbbFRe0ImYMTlzyec=]
WIUqzRq1Ocx4QNnsF26dZQijKdyd2L9OfaT55hDlQCI=
5. 远控工具中收藏的远程ID是?[标准格式:123456] What is the saved remote ID in the remote control tool? [Answer format: 123456]
1807892422
6. 远程控制该手机的手机型号是?[标准格式:huawei-Hot] What is the model of the phone controlling this phone? [Answer format: huawei-Hot]
google-Pixel
7. 监听工具包名是?[标准格式:com.app.cpp] What is the package name of the eavesdropping tool? [Answer format: com.app.cpp]
com.example.liekai
8. 监听工具代码主入口是?[标准格式:com.app.cpp.MainActidddy] What is the main entry point in the eavesdropping tool’s code? [Answer format: com.app.cpp.MainActidddy]
雷电智能app分析里面找到的
com.example.liekai.MainActivity
9. 监听工具的签名算法是?[标准格式:AES123RSA ] What signing algorithm does the eavesdropping tool use? [Answer format: AES123RSA]
SHA256-RSA
12. 监听工具检测到多少分贝开始录音?[标准格式:30] At what decibel level does the eavesdropping tool start recording? [Answer format: 30]
70
13. 监听工具录音连续几秒没有检测到声音停止录音?[标准格式:3] How many consecutive seconds of silence trigger the eavesdropping tool to stop recording? [Answer format: 3]
4
反编译apk流程
参考:
从接下来开始就不是简单的题了,接下来会apk反编译:
1.java -jar <u>E:\电子取证\小工具\apktool.jar</u> d -f _<u>*********.apk</u>_ -o 1unpacked
这里就用java -jar E:\电子取证\小工具\apktool.jar d -f 1.apk -o 1unpacked即可
这个时候会反编译出来一个文件夹1unpacked,在文件夹中找到:
lib/arm64-v8a/*.so文件,把这几个文件拷贝到新建的文件夹blutter_work/input中,在blutter主目录运行:
python blutter.py E:\电子取证\2025盘古石\apk\liekai\blutter_work\input E:\电子取证\2025盘古石\apk\liekai\blutter_work\output\