2024中科实数杯

admin管理员组

文章数量:1570208

总体来说不难，就是题目和检材不是很照应，感觉有点乱

官方wp指路微信公众号：网络安全与取证研究

看完官方wp后，感觉有几题的答案只有用中科实数的工具才能取出来

检材解压密码：欢迎参加第五届中科实数杯

第五届“中科实数杯”全国电子数据取证与司法鉴定挑战赛山西省公安机关接到线报，有一伙人长期从事盗墓和贩售文物活动，形成了一条龙的犯罪链条。经过数月侦察，警方掌握了该团伙的核心成员信息，并成功在一次交易中将多名嫌疑人抓获，现场扣押了大量文物及嫌疑人手机，并在突击审讯后在其老巢起获了多台笔记本电脑及电子存储设备。现需要对这些设备进行全面取证分析，以获得更多犯罪证据，彻底摧毁这一犯罪网络检材清单：经山西省公安厅司法鉴定中心甄别及结合前期侦察、审讯。

涉案检材清单如下：

1、犯罪嫌疑人张老四的iphone手机备份一个；

2、犯罪嫌疑人王胖子的安卓手机备份一个；

3、犯罪窝点起获的windows笔记本电脑A镜像一个；

4、犯罪窝点起获的macbook笔记本电脑B镜像一个；

5、犯罪窝点笔记本电脑A内存镜像一份；

6、后期归案的犯罪嫌疑人大金牙工作安卓手机备份一个；

7、犯罪窝点的u盘镜像一个；

8、后期归案的犯罪嫌疑人眼镜仔工作iphone手机备份一个

检材1

1、检材1-的手机序列号是？（1分）

C39QTS9JGRX5

2、检材1-的备份时间是？（格式：yyyy-mm-dd HH:mm:ss）（2分）

2024-07-11 02:09:02

2024-07-10T18:09:02Z +8 = 2024-07-11 02:09:02

3、检材1-最近使用的APP是？（应用名称）（1分）

高德地图

官方wp

19、盗墓团伙最近一次盗墓日期是？（格式：yyyymmdd）（3分）

20140712

直接看应用下对应的数据库即可快速判断通讯APP是铛铛

20、盗墓团伙最近一次盗的墓名是？（3分）

王墓坡

27、大金牙的真实姓名可能是？（3分）

冀璐晟

21题中大金牙的电话号码是13913913916，搜通讯录可知姓名，来自官方wp

33、盗墓地点的GPS经纬度（格式：经度xx,xx,xx，纬度xx,xx,xx)（1分）

经度112,36,57，纬度37,50,45

检材2中backup_image.zip解压出三张图，应该是对应聊天记录中的三张图

34、盗墓前集合地的GPS经纬度（格式：经度xx,xx,xx，纬度xx,xx,xx)（1分）

经度112,36,53，纬度37,47,51

35、盗墓后集合地的GPS经纬度（格式：经度xx,xx,xx，纬度xx,xx,xx)（1分）

经度112,36,52，纬度37,47,51

检材2

4、检材2-即时聊天工具有哪些？（2分）

MOMO陌陌、QQ、城信、微信、铛铛

5、检材2-盗墓团伙之间的通讯APP版本是多少？（格式：x.x.x）（1分）

3.0.36

检材1中也有通讯APP，通过查看检材1的通讯APP的数据库，可以判断团伙使用的通讯APP就是铛铛，检材2中数据库在检材2.tar/检材2/铛铛(com.aladdin.dangdang).bak/apps/com.aladdin.dangdang/db/aladdin_im_datas.db

6、检材2-盗墓团伙抱怨的工具有哪些（2分）

铲子、绳子、电筒、指南针

7、检材2-盗墓团伙之间的通讯APP证书指纹SHA256值是多少？（格式：xx:xx...或xxxx...）（5分）

F6:60:5F:EE:EE:58:44:B4:0D:45:76:52:F0:FE:8A:54:AE:23:7F:74:5F:F8:21:31:BA:FD:19:6C:FA:3E:17:AF

感谢WANGJQ2011师傅的分享，把铛铛的apk导出之后，用Apk Messenger扫一下就出

我的是4.3版本的，不知道为什么没有扫出来，3.0版本的直接出

用弘连也行，注意格式

检材3

45、检材3-BitLocker恢复密钥（5分）

010461-617507-553498-499752-253286-356334-124773-180169

有内存镜像用passware跑

8、检材3-硬盘的MD5值（1分）

01A2CDF623353043053ED37A7519265B

9、检材3-硬盘系统分区的起始位置（1分）

344981504

官方wp是014900000

10、检材3-系统的当前版本是多少（1分）

10

官方wp是22H2

11、检材3-Edge浏览器最后一次搜索过的关键词是什么（1分）

狼眼手电

12、检材3-Edge浏览器最后一次访问过的与盗墓及文物有关的网站URL（1分）

https://baijiahao.baidu/s?id=1599783184726705131

13、检材3-主用户的NT密码哈希值（2分）

a0bad269b8d49ccf481513f9875be4c7

24、检材3-系统登陆密码（5分）

20242024

hashcat也能爆，来自官方wp

检材4

14、检材4-Mac OS的版本号（格式：x.x.x）（1分）

12.7.5

15、检材4-加密货币软件的名字（1分）

OKX

16、检材4-Safari浏览器最后一次搜索过的关键词是什么（1分）

洛阳铲

17、检材4-MacBook pro最后一次访问的文件名（2分）

提示.doc

感谢WANGJQ2011师傅的分享，检材4-MacBook pro是mac和windows双系统，看弘连更准确

18、检材4-Edge浏览器最后一次访问过的与盗墓及文物有关的网站（2分）

文物流转站聊天室.html

21、大金牙的手机号码是什么？（5分）

13913913916

在文物流转站聊天室.html中

眼镜仔手机备份

28、盗墓团伙要求用什么的虚拟货币交易？（字母简称，例：BTC、ETH）（3分）

MATIC

检材4中有一个手机备份

取证需要ios备份密码，6位纯数字爆破Manifest.plistpassware kit forensic、hashcat使用-CSDN博客

解开后发现是眼镜仔的iPhone备份

29、该案件中，谁是文物贩子？（3分）

大金牙

大金牙从盗墓团队这里收文物

再转卖给外国人

30、盗墓团伙最近一次交易的文物有几个？（5分）

5

202407.rar里有5个文物，7张图包括两个正反面，解压密码跟上次一样：yjz_18022462024

31、盗墓团伙最近两次的交易金额是多少？（例：250 BTC）（3分）

188000MATIC

第一次8.8W，第二次10W，28题有虚拟货币的单位

检材7

22、检材7-虚拟货币钱包的地址（5分）

1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2

检材4中提示.doc中写虚拟货币钱包地址写在U盘的一个doc文件中，没找到

直接暴搜，钱包地址：1BvBMSEYstWetqTFn5Au4m4GFg7xJaNVN2

23、检材7-虚拟货币助记词（5分）

love can play games tomorrow money

加密的文件

密码提示在在文物流转站聊天室.html中，眼睛仔喜欢设置自己的密码为8位纯数字，爆破一下，密码是20241234

检材6

36、检材6-中最近一次呼入的号码是？（1分）

9528207

37、检材6-浏览器第一次搜索的内容是？（1分）

隐写工具

38、检材6-手机所使用的翻越APP是？（1分）

Clash

题目不改会被ban，审核这么严的么

39、检材6-翻越APP所使用的订阅地址是？（1分）

https://miaomiao.xn--7rs48z0nlr6hc8cqz4a/api/v1/client/subscribe?token=1357e1cbda597141d15ae689b3d470d7

题目不改会被ban

40、检材6-手机上安装了哪些隐写工具？（1分）

Steganography、Stegais

25、该案件中，文物贩子的买家有谁？（给出对应账号名）（3分）

James、David

26、该案件中，文物贩子与买家的通讯APP的包名是？（3分）

org.telegram.messenger.web

用telegram通讯的

32、该案件中，文物贩子卖出的文物名为“SX-WW-202407001”价格是多少？（5分）

68600ETH

聊天记录中显示文物贩子与James交易一个

与David交易两个

在两次交易的聊天记录中都说了一句价格在照片里，应该是隐写，在检材6中有backup_image.zip，解压有照片在stegais文件夹下，确定是隐写

开个模拟器，将stegais安装进去，将图片共享进去，分离信息

与james交易的文物，

Name: SX-WW-202406026

Price: 25300BTC

与David交易的文物

Name: SX-WW-202405073

Price: 58000ETH

Name: SX-WW-202407001

Price: 68600ETH

检材8

41、检材8-使用的苹果账号是？（1分）

rdmf_top@163

42、检材8-系统版本是？（x.x.x）（1分）

17.5.1

43、检材8-使用的WiFi网络名为“大兄弟的网络”的MAC地址是？（例：xx:xx...）（2分）

5e:37:7d:2a:47:5e

暴搜

44、检材8-手机IMEI是？（1分）

357272092128408

本文标签： 实数中科