🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

“取证云平台”破难题|全国取证竞赛部分赛题复盘

美亚柏科
2024-09-20
第九届全国电子数据取证竞赛已圆满落幕取证大神们尽显风采比赛过程精彩纷呈恭喜获奖的选手们~
我们一起来通过取证云平台对本次竞赛中的相关题目进行复盘希望和各位参赛大神在解题思路上碰撞出智慧的火花
本次团体赛题目共139题其中有19道题可以使用取证云平台快速解答题目数量占比高达14%能够极大节省答题时间!


“取证云平台”重点功能
01
云取证中心:
集手机、网页及服务器云取证能力为一体的SaaS化应用。02
赋能中心:
整合美亚柏科各类技术和数据资源,提供AI、数据和解析赋能。03
调证中心:
汇聚拉通各互联网厂商调证通道,力争建立全国调证联盟生态。04
其他功能:
汇集取证小程序、应用中心、试用中心和神武学生端等生态应用。
“学习无止境,探索出真知”
美亚柏科取证云平台研发团队
为大家梳理选手们在比赛中
如何利用取证云平台快速解题的答题过程
敲黑板!记笔记啦~
让我们一起跟上取证云平台团队的思路
开始解题吧!

01第九届美亚杯团体赛第77题
题解:根据提示可以从true-ubuntupassword.txt得到一个哈希串0c822f043cfc65dc0f2712819d6955f9。
进入取证云平台首页,点击哈希解析工具,输入该密码的哈希值,可以得到密码为:(newpassword2)在仿真后的潘志辉计算机VM中输入Ubuntu的密码 (newpassword2) 成功进入系统。
02第九届美亚杯团体赛第79题

题解:该题与77题其实为同一题,拿到“true-ubuntupassword.txt”的哈希值为0c822f043cfc65dc0f2712819d6955f9,放到取证云平台即可解析,同时可以知道加密方式为MD5。将解析后的明文再次加密,验证结果确实是MD5加密。

03第九届美亚杯团体赛第101题
注意:本次比赛虚拟币相关题目,在不联网情况下,通过翻阅本地检材中的图片也可以解题。本文介绍的方法是在联网情况下,通过取证云平台应用中心中的虚拟币查询功能进行解题,两种解题思路请大家注意区分。
题解:进入取证云平台首页,点击应用中心上的在线“Etherscan”验证该合约地址是否使用,证实其使用的是Ethereum区块链。

04第九届美亚杯团体赛第102题
题解:进入取证云平台首页,点击应用中心上的在线“Etherscan”查询该合约地址使用的加密货币,得到结果为Binince (BHB)

05第九届美亚杯团体赛第103题

题解:进入取证云平台首页,点击应用中心上的“Ethplorer”查询该合约地址使用的加密货币,证实其创建时间为2023-09-06 16:58:11

06第九届美亚杯团体赛第104题

题解:进入取证云平台首页,点击应用中心上的“Ethplorer”查询该合约地址使用的加密货币,查询到该地址总铸造量为300,000,000

07第九届美亚杯团体赛第105题

题解:进入取证云平台首页,点击应用中心上的“Etherscan”查询该合约地址使用的加密货币,查询得第一个地址为:0XEB3C02F1BF7A6E700950F39E4876762F8A44426F

08第九届美亚杯团体赛第106题

题解:进入取证云平台首页,点击应用中心上的“Ethplorer”查询该合约地址使用的加密货币,查询到铸造该地址的交易哈希是:0X267C8E68E3A9769261C7DA8257BB80D800AF3D222FB98A63D3C19D5FAB6EB84C。

09第九届美亚杯团体赛第111题

题解:进入取证云平台首页,点击应用中心上的“Ethplorer”查询该合约地址使用的加密货币,查询到持有50,000,000个加密货币的加密货币地址是:0X08B57D2531AC4CD18BC785B9DEB688FFE61A4E8E

10第九届美亚杯团体赛第117题

题解:进入取证云平台首页,点击应用中心上的“MnemonicCodeConver”计算公钥。
在转换器中,计算恢复种子在Ethereum中BIP-44 derivation address = m/44'/60'/0'/0/0的公钥为
0x02ADBBC484E52E921B2678305C092FC794A97C7552BA86B5F3362B892C660E4CCE

11第九届美亚杯团体赛第118题

题解:进入取证云平台首页,点击应用中心上的“MnemonicCodeConver”计算私钥。
在转换器中,计算恢复种子在Tron Network中BIP-44 derivation address = m/44'/195'/0'/0/2的私钥为:
4883C816B7154DD4C66A5674E98564FEBD17CAC51DCB1AD349932177982FA2DF。

12第九届美亚杯团体赛第126题

题解:根据第56题中提及的陈大昆MacBook存在两个加密的dmg(auto.dmg和funnystuff.dmg),将funnystuff.dmg拷贝到MacOS虚拟机并双击打开。
在弹出的对话框中输入文件名即密码“funnystuff”就可找到0c1c.7z和35ea.7z。
进入取证云平台首页,点击应用中心中的云沙箱检查工具,检测0c1c.bin文件被upx 3.96加壳,使用upx -d命令脱壳,得到脱壳后的文件。
对脱壳后的0c1c.bin二进制文件重新检测,结果可以看到该二进制文件所使用的编译器。

13第九届美亚杯团体赛第128题
题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具对0c1c.bin脱壳后的二进制文件进行检测,结果中可以看到该二进制文件的入口点。

14第九届美亚杯团体赛第129题

题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具对0c1c.bin脱壳后的二进制文件进行检测,结果中可以看到.rodata节大小。

15第九届美亚杯团体赛第130题
题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具对0c1c.bin脱壳后的二进制文件进行检测,在字符串中查看“coin”相关的文本,可以找到Kevacoin。
相同方法可以找到Ravencoin。

16第九届美亚杯团体赛第133题
题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具对0c1c.bin脱壳后的二进制文件进行检测,因为前面检测有发现Xmrig 是一款支持挖掘门罗币(Monero)的软件,通过Xmrig关键字查到文本内容,可以找到该挖矿软件的版本号。

17第九届美亚杯团体赛第134题

题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具,在元数据信息只看到gcc(3.x),使用gcc关键字进行搜索,找到具体的编译器信息。


18第九届美亚杯团体赛第135题

题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具,对35ea.bin二进制文件进行检测,结果中可以看到该二进制文件的入口点。



19第九届美亚杯团体赛第139题


题解:进入取证云平台首页,点击应用中心中的云沙箱检查工具,结果中可以看到该二进制文件和Conti勒索软件有关联。



感受到取证云平台的“神通广大”了吗?
许多难题通过取证云平台都能迎刃而解


取证云平台不仅可以用于参加取证相关比赛,还能在日常工作中发挥出重要作用。未来取证云平台将会持续增加新功能,欢迎广大用户参与使用,共同建设取证云平台生态圈!

对取证云平台感兴趣的小伙伴们
点击文末“阅读原文”
按照详细步骤进行安装


了解更多

使用过程中,有任何问题
欢迎通过以下方式联系我们
诚邀取证从业人员
共探行业新技术,打造行业新生态

技术支持热线:400-888-6688

(扫描上方二维码)

编辑:林杨珏

校对:颜如玉

审核:何海燕、李银河


——— 近期热点 ———

热文

市监国赛练习你做了没?速来!


热文

专家说丨浅谈站库分离的取证方法研究(上)


热文

专家说丨浅谈站库分离的取证方法研究(下)


热文

【重要通知】第二届“乾坤杯”竞赛即将开赛!11月21日,我们云端相聚

继续滑动看下一个
美亚柏科
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存