解压密码：希望大家都能取得好成绩

1、检材一硬盘的MD5值为多少？（1分）

取证大师打开就好了

80518BC0DBF3315F806E9EDF7EE13C12

2、检材一bitlocker的恢复密钥是多少？（5分）

恢复密钥

585805-292292-462539-352495-691284-509212-527219-095942

不得不说，Elcomsoft Forensic Disk Decryptor解密速度是真的快注意这里要用2.20版本，1.0版本不行tips：解密bitlocker方法方法一：

使用ufs挂载后，直接就可以输入密钥解密

方法二：AIM挂载镜像，解密bitlocker，使用xways查看

物理扇区号

3、检材一镜像中用户最近一次打开 的文件名是什么？（1分）

列表.xlsx

按最后访问时间排序就能看到

4、检材一硬盘系统分区的起始位置？（2分）

起始位置是扇区数*512，因为一个扇区512字节

332398592

ufs也可以直接看到扇区位置。

取证大师的物理位置就是起始位置的字节

5、检材一系统的版本号是多少（格式：x.x.x.x）（1分）

格式不对，还得去找cmd命令行里面可以查看

10.0.19042.508

tips:查看版本号

1.查看设置2.使用winver命令2.使用命令行进行查看

systeminfo | findstr Build

ver

不过有些画蛇添足

3.使用「系统信息」工具查看 Windows 版本

msinfo32

4.查看注册表

regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

在这个路径下面

6、检材一回收站中的文件被删除前的路径（2分）

C:/Users/rd/Desktop/iTunes(12.13.0.9).exe

7、检材一给出最后一次修改系统时间前的时间（格式：YYYY-MM-DD HH:MM:SS）（3分）

查看取证大师系统时间更改

2023-12-12 16:37:12

在时间查看器里面搜索系统时间最近一次的事件ID号为4616这里一定要注意，记录时间和新时间差8h，推测记录时间是UTC+8，新时间是UTC+0，所以以前的时间应该也是UTC+0，时间也要加8小时，才是UTC+8

8、检材一最后一次远程连接本机的时间（格式：YYYY-MM-DD HH:MM:SS）（2分）

2023-12-11 15:57:02

9、检材一Chrome浏览器最后一次搜索过的关键词是什么（2分）

常见的诈骗话术2023

10、检材一是否连接过U盘，如有，请给出U盘的SN码（2分）

FC2005927F271

11、检材一Edge浏览器最早一次下载过的文件文件名是（2分）

winrar-x64-624scp.exe

12、嫌疑人访问的微博的密码的MD5值（3分）

5cb42860b3b61ef6dd361ad556f48e05

13、检材二备份的设备名称是什么？（1分）

“User”的 iPhone

14、检材二手机的IOS系统版本是多少（1分）

17.0

15、检材二备份的时间是多少？（格式：YYYY-MM-DD HH:MM:SS）（1分）

2023-12-09 15:02:28

16、嫌疑人iphone手机给号码“13502409024”最后一次打电话的时间是。（格式：YYYY-MM-DD HH:MM:SS）（2分）

从22题可知，备份密码是五位纯数字passware添加掩码攻击按理说，这样的攻击方式就可以了，不知道为什么我的passware这种方式一运行就卡死了我改换思路，使用字典攻击

with open('E:/CTF脚本/1.txt', mode='wt', encoding='utf-8') as f:
    for i in range(100000):
        number = f"{i:05d}"
        _str =  number + "\n"
        f.write(_str)

这是一个从00000到99999的字典

2023-12-04 13:18:50

17、检材二使用过的号码ICCID是多少。（2分）

89860000191997734908

18、检材二手机中高德地图最后搜索的地址。（2分）

万达广场(南沙店)

19、检材二手机最后一次登陆/注册“HotsCoin”的时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

这题我的思路是去找数据库文件，但是发现翻了之后没有说明收获。这时候我们就要想到登录账号，可能就需要验证码登录，所以来看看验证码

2023-12-04 13:28:14

20、检材二手机中照片“IMG_0002”的拍摄时间是（格式：YYYY-MM-DD HH:MM:SS）（2分）

导出图片查看,

我的计算机属性查看不了，不知道为什么所以利用exiftool根据查看

2023-12-06 11:08:30

21、检材二中“小西米语音”app的Bundle ID是什么？ （2分）

这定义，Bundle ID就是包名

com.titashow.tangliao

22、检材二中浏览器最后一次搜索的关键词是什么？（2分）

没有啥关键词，猜测可能在safari里面使用AXIOM找找看

ios备份密码忘了怎么办五位纯数字

这个和计算机里面的嵌套证据ios备份联系起来

23、嫌疑人和洗钱人员约定电子钱包的品牌是什么，如有多个用顿号分隔。（3分）

这个是小西米语音的聊天数据库，从十六进制可以看到是sqlite文件00008030-001619320C68802E.tar/AppDomain-com.titashow.tangliao/Documents/IM5_CN/9031bc3c805ac5e55ecaa151092c2c4b/IM5_storage/1399634813467579522/im5db 导出message表content字段查看

imToken、Bitcoin

24、嫌疑人和洗钱人员约定电子钱包的金额比例是什么。（3分）

0.2

25、检材三中进程“FTK Imager.exe”的PID是多少？（2分）

11328

取证大师小程序解析，全部选中，解析更全

26、检材三中显示的系统时间是多少？（格式：YYYY-MM-DD HH:MM:SS）（2分）

这个是UTC+0，我们要改成UTC+8

2023-12-12 12:06:25

27、检材三中记录的当前系统ip是多少？（2分）

172.18.7.229

28、检材四中迅雷下载过的文件名是什么？（1分）

《向银河靠近》.txt

29、检材四中安装了哪些可是实现翻墙（VPN）功能的app？（1分）

一定要检查源文件，防止存在未解析的软件

Clash

30、检材四备份的设备系统版本是多少？（1分）

检材4.tar/检材4/20231213_172032/descript.xml

V14.0.2.0.TKSCNXM

31、检材四备份的时间是多少（答案以13位时间戳表示）（1分）

1702459232429

32、检材四中FileCompress app 包名是什么？（1分）

com.zs.filecompress

33、检材四中备忘录记录的内容是什么？（1分）

Vcpswd:edgewallet

34、请列出检材四中所有虚拟币钱包app的包名，如有多个用顿号分隔。（3分）

de.schildbach.wallet、com.bitcoin.mwallet、piuk.blockchain.android、im.token.app、com.paxful.wallet

35、检材四中嫌疑人使用Bitcoin Wallet钱包地址是什么？（3分）

搜索address也是小西米语音里面要求转钱的地址

bc1q4ru3a8r0vzymwwcmawvtdyf6hkvt2x9477hjkt

36、MD5值为“FF3DABD0A610230C2486BFFBE15E5DFF”的文件在检材四中的位置（2分）

对检材四新建哈希集初步判断这个hash应该是md5的32位504B0304，压缩包？看41题

37、检材中受害人的微信号是多少？（2分）

检材二的微信，嫌疑人威胁受害人索要财物

B-I-N-A-R-Y

38、嫌疑人曾通过微信购买过一个公民信息数据库，该数据库中手机尾号是8686的用户的姓名是（3分）

手机里可以看到有记录，但是找不到文件，去嫌疑人电脑里面看看

看最近使用的文件，有一个数据库20231212.E01/Windows(分区6)/Users/rd/Documents/WeChat Files/wxid_vf2sdstna45a22/FileStorage/File/2023-12/database(1).sqlite 导出来

select * from users where  users.phone like '%8686';

章敏

39、嫌疑人手机中是否保存了小西米语音app的账号密码，如有，请写出其密码（5分）

在备份里面的钥匙串

jamvU1@wiwgug$bo

40、公民信息数据库中，截止到2023年12月31日，年龄大于等于18且小于等于30岁之间的用户信息数量（5分）

1993年12月31日到2005年12月31日的公民

select count(*) from users where substr(IDCARD,7,4) >='1993' and substr(IDCARD,7,4) <='2005';
1572

41、受害人小浩的手机号码是多少（5分）

压缩包是36题的压缩包

看路径

导出apk文件研究

这是一个解密的

但是导入11月.txt会闪退

直接去找主活动

writeToFile类下面

解压密码

1!8Da9Re5it2b3a.

13533333333

42、完整的受害人名单是几个人。（6分）

计算机存在反取证软件，就要注意加密容器

新建文本文档.txt很可疑

用veracrypt挂载

用备忘录的密码尝试

Vcpswd:edgewallet

发现不对

再用压缩包密码尝试

1!8Da9Re5it2b3a.

发现也不对

得再找找看

检材一的edge

九月可以直接打开

十月是zip

压缩包密码一样的

1!8Da9Re5it2b3a.

6

43、受害人转账的总金额是多少（5分）

检材二

备份

一共六百

600

总结：感觉这套题目，略有难度，一个ios备份那块，不太好爆破，这个思路整理下来，实施下去还是有点难的。还有一个点就是最后的压缩包密码，vcpswd还是有点绕的，找起来不是太容易。在做题中学习新知识，培养自己的体系。